huanglong发的贴《天域网络(
www.xfyun.com)存在注入漏洞!!!》
原帖地址
http://www.xfwawa.com/bbs/thread-1978-1-1.html,没看的去看看。
不知道大家有没用扫出来的密码去登过后台,我登了,发现根本登陆不了。提示密码不对!
看来不是嫩简单哟。得好好研究研究了。
既然新闻浏览页面存在注入漏洞,那后台登陆页面是否也有漏洞呢,于是乎,就在后台登陆用户名中输入 funo' or '1=1(之前huanglong扫出来的用户名) ,密码随便填。点击登陆,哈哈。果然有漏洞,进了后台。
这时我就在想啊,为什么扫出来的密码不对呢。在后台找了哈,发现密码是明文显示的,是funo。看来是加过密的。funo,gwqs 想了哈,加密算烦很简单。如下
f -> g ASCII码 + 1
u -> w ASCII码 + 2
n -> q ASCII码 + 3
o -> s ASCII码 + 4
依次类推,很简单吧。
在网上找了哈,发现存在此漏洞的站还真不少,贴出来,大家去瞅瞅!
本帖隐藏的内容需要回复才可以浏览
总结下:
1)先用啊D扫描出用户名 和 后台地址。
2)在扫出的用户名后加上' or '1=1,密码随便填,就可以进后台了。
[
本帖最后由 fantasy 于 2008-9-5 23:57 编辑 ]
