直接上传拿shell
注入地址如下:
http://www.bjqingyu.com/letter/show.asp?id=553
没有防注入程序的防护
直接丢到啊D中扫描
得到用户名和密码
下面扫描 后台
http://www.bjqingyu.com/user/login.asp
顺利的登录进去,呵呵,连MD5加密都没有,太方便了
点击后面的浏览 经过测试 可以直接上传ASP格式的木马
上传后的地址如下:
http://www.bjqingyu.com/hotelpic/smallImg/20080512-0000000011.asp
就这样,搞定,呵呵。这次的入侵 实在是太简单了,呵呵,大牛们都见笑了,呵呵,欢迎大家的指教哦,