禁用java跳过本地验证实例
2012-12-01 22:01
225 查看
来源:习科技术论坛 作者:aijieyu
目标:http://www.xxoo.com.cn
ASPX+access的+IIS7.5的站点
那么多大神都搞过,要说存在什么注入和编辑器什么的大神们早就搞了!
虽然这样扫描还是要扫的,但是我扫的是目录
找到后台
http://www.xxoo.com.cn/manage/login.aspx
弱口令什么的都是没有的,试试有没有注入
提交admin 123456 提示密码错误再试一下
admin’ 123456 提示用户名错误
其实这就存在了注入漏洞,前一阵子有人专门写了一片关于这情况的注入,大家可以去看一下
然后尝试注入,但是后台过滤了分号和空格,没尝试能不能饶过去。
接着看了一下工具扫出了这个链接http://www.2cto.com /manage/
点其他的功能就会提示你要登录,这很明显是采用了本地验证的办法,我们直接把本地的JAVA禁用就可以了
然后直接点添加用户新添加一个用户
接着用新添加的用户登录后台
然后直接在下图处上传ASP马即可
小马的图
目标:http://www.xxoo.com.cn
ASPX+access的+IIS7.5的站点
那么多大神都搞过,要说存在什么注入和编辑器什么的大神们早就搞了!
虽然这样扫描还是要扫的,但是我扫的是目录
找到后台
http://www.xxoo.com.cn/manage/login.aspx
弱口令什么的都是没有的,试试有没有注入
提交admin 123456 提示密码错误再试一下
admin’ 123456 提示用户名错误
其实这就存在了注入漏洞,前一阵子有人专门写了一片关于这情况的注入,大家可以去看一下
然后尝试注入,但是后台过滤了分号和空格,没尝试能不能饶过去。
接着看了一下工具扫出了这个链接http://www.2cto.com /manage/
点其他的功能就会提示你要登录,这很明显是采用了本地验证的办法,我们直接把本地的JAVA禁用就可以了
然后直接点添加用户新添加一个用户
接着用新添加的用户登录后台
然后直接在下图处上传ASP马即可
小马的图
相关文章推荐
- Java快速入门本地调用哈工大LTP实例
- Java经典实例:纪元秒和本地日期时间互换
- Java 关于Ajax的实例--验证用户名(四)
- java-web-Filter-登录验证之筛选器使用实例
- Java Class文件结构解析 及 实例分析验证
- java接入创蓝253短信验证码的实例讲解
- 不依赖第三方jar包的通过java sax解析本地xml文件的实例代码
- java 调用 本地命令Ping 实例
- IIS 子验证程序的注册表键没有在本地计算机上正确配置,匿名密码同步功能被禁用
- Sql2012如何将远程服务器数据库及表、表结构、表数据导入本地数据库 自定义日志记录功能,按日记录,很方便 C#常量和字段以及各种方法的语法总结 类型,对象,线程栈,托管堆在运行时的关系,以及clr如何调用静态方法,实例方法,和虚方法 asp.net webapi 自定义身份验证
- JAVA HttpClient调用Https 跳过证书验证
- Java LocalCache 本地缓存的实现实例
- java实现图片上传至本地实例详解
- java 制作验证码并进行验证实例详解
- JAVA 正则表达式验证讲解和实例(转)
- java通过url读取远程数据并保持到本地的实例代码
- 配置QSslConfiguration让客户端程序跳过本地SSL验证
- SQL2008登录本地数据库时:请验证实例名称是否正确并且 SQL Server已配置为允许远程连接 error:40-无法打开
- JAVA调用restful接口,通过Cookie跳过权限验证
- 基于JSP + servlet + javabean的MVC简单验证登录实例