蜗蜗侠's Blog-关注网络安全移动版

主页 > 代码审计 >

万众电子期刊在线阅读系统ASP版本getshell

最近在看一套信息分类系统。看了好久毫无头绪,结果意外的发现了他们使用了万众电子期刊ASP版本。于是找来源码看了下。意外的发现了sql注入以及集合IIS6的getshell
1.sql注入

 

很明显的

直接就admin’or’=’or’就可以万能密码登录了
1

2.getshell 需要结合解析来进行

 

很明显,我稍微处理下

如果我传入的picdir=1.ASP;.JPG那么不是就生成了这个目录。然后随便传入图片马儿就可以getshell了

11

(责任编辑:蜗蜗侠)