华师大首页公告漏洞

刚刚在看头文字D..我姐姐问我他们学校的网站是不是我黑了?弄得我一头误水,然后她把截图给我看 .如图:

明显不是嘛..我还没上高中了,怎么可能会他们学校毕业的呢?

然后我看了下,第一映象是注入得到的..这家伙也没拿到什么权限.

我在公告里逛了半天开始还没看出啥...结果发现是firefox的问题..换用 IE..它的地址就出来了..一看url..明显是注入嘛.

很快用户密码都跑出来了,虽然密码是32位MD5加密的.但是由于过于简单,所以很容易就破解了.进去看看发现这个公

告添加的功能实在简陋.我还没想到怎么拿shell.

入侵就这样刚刚开始就停止了,看灌篮高手去了..

到发稿时,我发现管理员已经在修补了.晕倒...我的shell更没希望了.只有下次有空的时候在找找其他洞咯~