万户网络ezEIP4 注入漏洞【通过】 |
您所在的位置:网站首页 › 万户网络ezEIP40漏洞 › 万户网络ezEIP4 注入漏洞【通过】 |
该程序大部分 都有注入(已测试) 谷歌随便搜到的一个站点 xxx.com XXX Sex Videos - XXX.com首先测试下 and 1=1 and 1=2 image856×380 1.89 KB拿到sqlmap跑一下 测试可以跑出来库名 别的啥也跑不出来 试过很多方法 就是爆不出来 感觉程序做的很好(主要我太菜) 百度搜了一下,看到默认数据库的表名 Whir_Sec_Users 默认字段;password,loginname 试一下可不可以直接出数据 image778×370 3.86 KB这就很有意思了 过滤了一些东西 那就再加上试下看看 image721×317 4.17 KB然后账号 就出来了 root账号 看下密码 image741×332 4.1 KB也是一样的 image929×336 7.19 KB密文出来了 去解下密 加密不严一下就解开了 image1044×536 58.3 KB然后后台登录了 粗略的看了下发现拿shell似乎也很简单 image998×516 30.7 KB改一下后缀就好了 image1128×511 32.6 KB直接菜刀连接shell image734×389 3.74 KB似乎还可以提权 这里就不说了 小白一个 第一次提交 写的不好 多多包涵 通过 未通过0 投票者 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |