欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

最新科訊科技0day入侵實例(圖)

互聯(lián)網(wǎng)   發(fā)布時間:2008-10-08 19:36:12   作者:佚名   我要評論
現(xiàn)在程序在不斷的發(fā)展,更新。漏洞也不斷的出現(xiàn)。今天來給大家演示一下科訊的漏洞,簡單拿大站的WebShell.在百度或者GOOGEL搜索,科訊的注冊關(guān)鍵字,因為這個漏洞就出自于頭像上傳。關(guān)鍵字為(小提示:在輸入用戶名后,可以自動檢查您想要的用戶名是否已經(jīng)被別人注冊)  
現(xiàn)在程序在不斷的發(fā)展,更新。漏洞也不斷的出現(xiàn)。今天來給大家演示一下科訊的漏洞,簡單拿大站的WebShell.在百度或者GOOGEL搜索,科訊的注冊關(guān)鍵字,因為這個漏洞就出自于頭像上傳。關(guān)鍵字為(小提示:在輸入用戶名后,可以自動檢查您想要的用戶名是否已經(jīng)被別人注冊)
  我們今天就拿第一個來演示,目標地址為(http://www.**.**.gov.cn) 圖1



  因為漏洞出在頭像上傳的地方,所以第一步,我們的先 注冊一個用戶。再在用戶上傳頭像那里上傳我們的ASP木馬。已經(jīng)寫好了一個現(xiàn)成的科訊科技的漏洞利用工具。工具使用很簡單。傻瓜化。圖2



工具上有6個點擊連接。
  1.用戶注冊。2.頭像上傳。3修改目錄拿WebShell.4.查看WebShell地址。5.程序的默認數(shù)據(jù)庫下載。6讀取程序的CONN文件把網(wǎng)站復制進去點擊-打開-注冊用戶。圖3



注冊好了以后點擊-頭像上傳。上傳我們的ASP木馬,把后綴改為,JPG或者GIF。圖4



  上傳好后點擊-修改目錄拿WebShell。會在http://www.qf.lg.gov.cn/Upfiles/User/xiaozi目錄下生成一個為X.ASP的文件,而在X.ASP這個文件下就是你的圖片大馬。圖5



  直接點擊-查看WebShell地址,在X.ASP的目錄下就可以查看到我們的GIF木馬的地址。 圖6




點擊-瀏覽就就能查看到我們圖片木馬的絕對途徑。 圖7



  然后用我們的一句話木馬連接。 圖8



  傳我們免殺的ASP木馬后成功得到WebShell. 圖9



  不知道大家看完后想起來什么沒有?
  其實這個漏洞跟2005動易的注冊漏洞差不了多少。
  漏洞演示到此為止。提權(quán)留給大家自己去領(lǐng)悟。

相關(guān)文章

最新評論