淇晨科技網(wǎng)站管理系統(tǒng)默認(rèn)漏洞的分析
發(fā)布時(shí)間:2012-07-07 17:50:38 作者:佚名
我要評(píng)論

分析一下一個(gè)網(wǎng)站的漏洞
365web樣版管理後端
默認(rèn)后臺(tái):cctmanage/login.php
默認(rèn)賬戶(hù):cct95 28528980
拿shell:系統(tǒng)自帶上傳文件采用本地驗(yàn)證,繞過(guò)就不用我說(shuō)吧。opera、burp 其他什么的繞過(guò)
有些帶ckfinder編輯器的配合iis解析試試唄
由于后臺(tái)默認(rèn)寫(xiě)進(jìn)robots.txt屏蔽google檢索,所以這個(gè)關(guān)鍵字inurl:cctmanage/login.php 在google檢索不到幾個(gè)站。
只能換其他關(guān)鍵字了,大家自己發(fā)掘。其實(shí)是太小眾的緣故吧。
這是上午日一個(gè)臺(tái)灣的站發(fā)現(xiàn)的,注出的賬戶(hù),好幾個(gè)采用同樣系統(tǒng)的網(wǎng)站通用。拿shell的方式都一樣。
去官方網(wǎng)站同樣進(jìn)去了
摘自 情 blog
默認(rèn)后臺(tái):cctmanage/login.php
默認(rèn)賬戶(hù):cct95 28528980
拿shell:系統(tǒng)自帶上傳文件采用本地驗(yàn)證,繞過(guò)就不用我說(shuō)吧。opera、burp 其他什么的繞過(guò)
有些帶ckfinder編輯器的配合iis解析試試唄
由于后臺(tái)默認(rèn)寫(xiě)進(jìn)robots.txt屏蔽google檢索,所以這個(gè)關(guān)鍵字inurl:cctmanage/login.php 在google檢索不到幾個(gè)站。
只能換其他關(guān)鍵字了,大家自己發(fā)掘。其實(shí)是太小眾的緣故吧。
這是上午日一個(gè)臺(tái)灣的站發(fā)現(xiàn)的,注出的賬戶(hù),好幾個(gè)采用同樣系統(tǒng)的網(wǎng)站通用。拿shell的方式都一樣。
去官方網(wǎng)站同樣進(jìn)去了
摘自 情 blog
相關(guān)文章
DedeCMS全版本通殺SQL注入漏洞利用代碼及工具2014年2月28日
近日,網(wǎng)友在dedecms中發(fā)現(xiàn)了全版本通殺的SQL注入漏洞,目前官方最新版已修復(fù)該漏洞,大家早點(diǎn)去官方下載補(bǔ)丁2014年2月28日2014-02-28路由器、交換機(jī)及防火墻漏洞的發(fā)現(xiàn)與防范方法
在本文中,我們將探討為什么這些設(shè)備容易受到攻擊,現(xiàn)在有多少惡意網(wǎng)絡(luò)攻擊是瞄準(zhǔn)路由器、交換機(jī)和防火墻的以及企業(yè)應(yīng)該采取什么措施來(lái)保護(hù)其網(wǎng)絡(luò)2013-12-11- 最近看到網(wǎng)上曝出的dedecms最新版本的一個(gè)注入漏洞利用,漏洞PoC和分析文章也已在網(wǎng)上公開(kāi).但是在我實(shí)際測(cè)試過(guò)程當(dāng)中,發(fā)現(xiàn)無(wú)法復(fù)現(xiàn)2013-06-11
nginx+cgi解析php容易出現(xiàn)的漏洞的分析
本文簡(jiǎn)要的分析nginx+cgi解析php容易出現(xiàn)的漏洞2012-10-25163郵箱記事本存儲(chǔ)型Xss漏洞分析與補(bǔ)救
我們來(lái)分析一下163郵箱記事本存儲(chǔ)型Xss漏洞分析與補(bǔ)救措施2012-10-23- 偶爾在網(wǎng)上看到這些,拿來(lái)和大家一塊看看,也好讓各個(gè)站長(zhǎng)懂得保護(hù)自己的網(wǎng)站2012-10-16
微軟發(fā)布Fix it工具修復(fù)IE7/8/9漏洞 ie用戶(hù)請(qǐng)盡快修復(fù)(0day漏洞)
日前有安全機(jī)構(gòu)曝光了IE瀏覽器的一個(gè)0day漏洞,利用這個(gè)0day漏洞(CVE-2012-4681)攻擊者可以繞過(guò)Windows的ASLR(地址空間布局隨機(jī)化)防護(hù)機(jī)制,訪(fǎng)問(wèn)用戶(hù)曾訪(fǎng)問(wèn)過(guò)的計(jì)算機(jī)2012-09-20網(wǎng)站的九大敵人有哪些 千萬(wàn)別給Web應(yīng)用漏洞可趁之機(jī)
過(guò)去,網(wǎng)站的內(nèi)容大多是靜態(tài)的。隨著HTML5的流行,Web應(yīng)用進(jìn)入一個(gè)嶄新階段,內(nèi)容的動(dòng)態(tài)化和實(shí)時(shí)共享讓阻攔不良內(nèi)容或惡意軟件變得更加復(fù)雜,公司和個(gè)人的重要信息也被暴于2012-08-23WEBSHELL箱子系統(tǒng)V1.0收信箱子代碼漏洞分析及解決方法
來(lái)分析一下WEBSHELL箱子系統(tǒng)的漏洞2012-08-17了解網(wǎng)站的九大敵人 謹(jǐn)防web漏洞威脅
過(guò)去,網(wǎng)站的內(nèi)容大多是靜態(tài)的。隨著HTML5的流行,Web應(yīng)用進(jìn)入一個(gè)嶄新階段,內(nèi)容的動(dòng)態(tài)化和實(shí)時(shí)共享讓阻攔不良內(nèi)容或惡意軟件變得更加復(fù)雜,公司和個(gè)人的重要信息也被暴于2012-08-09