直接上传拿shell

注入地址如下:
http://www.bjqingyu.com/letter/show.asp?id=553
没有防注入程序的防护
直接丢到啊D中扫描
 

直接上传拿shell_休闲
得到用户名和密码
下面扫描 后台
http://www.bjqingyu.com/user/login.asp

顺利的登录进去,呵呵,连MD5加密都没有,太方便了
 

直接上传拿shell_shell_02
点击后面的浏览 经过测试 可以直接上传ASP格式的木马
上传后的地址如下:
http://www.bjqingyu.com/hotelpic/smallImg/20080512-0000000011.asp

 

直接上传拿shell_上传_03 
就这样,搞定,呵呵。这次的入侵 实在是太简单了,呵呵,大牛们都见笑了,呵呵,欢迎大家的指教哦,