关于“高校现代教学管理系统漏洞”的攻击与防范
2013-06-23 00:12
323 查看
前段时间在群里看到一哥们分享了一个“高校现代教学管理系统漏洞”,方法很简单,很快就能拿到webshell。
原理和fck差不多,也是利用上传功能。
ftb.imagegallery.aspx 这是一个具有上传功能的目录,添加在该网站域名后即可打开。
之后上传带有可解析的asp马(需要解析改后缀,为安全起见就不公开了。)便可直接访问。
截图如下:
首先:搜索
第二步:找到相关可上传的站点域名
上传成功。
第三步:访问该网马的目录
证明:
(上面的图都懒得打码了 一看images,全是马,黑阔们,你们慢点。别把服务器搞成“养马场”了!)
解决方案:(自己想的 高手勿喷)
1、换个管理系统(最果断,也是最好的解决方式。)
2、如果网站管理员懒得换可以把”ftb.imagegallery.aspx”这个的路径更改一下。(其实这个不建议才用,毕竟如果真的想搞,直接扫目录也会扫出来的!)
3、设置访问权限,或者换成错误页面。
4、停止解析一些被更改后缀的大马。
个人的一些简单总结,网上也应该会有。如有不对的地方,还请提出指正。
By:Blackeagle www.blackeagle.name/
原理和fck差不多,也是利用上传功能。
ftb.imagegallery.aspx 这是一个具有上传功能的目录,添加在该网站域名后即可打开。
之后上传带有可解析的asp马(需要解析改后缀,为安全起见就不公开了。)便可直接访问。
截图如下:
首先:搜索
第二步:找到相关可上传的站点域名
上传成功。
第三步:访问该网马的目录
证明:
(上面的图都懒得打码了 一看images,全是马,黑阔们,你们慢点。别把服务器搞成“养马场”了!)
解决方案:(自己想的 高手勿喷)
1、换个管理系统(最果断,也是最好的解决方式。)
2、如果网站管理员懒得换可以把”ftb.imagegallery.aspx”这个的路径更改一下。(其实这个不建议才用,毕竟如果真的想搞,直接扫目录也会扫出来的!)
3、设置访问权限,或者换成错误页面。
4、停止解析一些被更改后缀的大马。
个人的一些简单总结,网上也应该会有。如有不对的地方,还请提出指正。
By:Blackeagle www.blackeagle.name/
相关文章推荐
- 关于WIN98+PWS的系统漏洞和防范措施
- 正方高校教务管理系统漏洞修复
- 新版linux系统设备架构中关于电源管理方式的变更 .
- 关于在知乎上发问"网上教学问答系统前世今生,创建这样的网站(例如专注计算机科学)有发展前景吗?"
- 英特尔处理器存漏洞,可被利用攻击任何系统
- Udev:介绍现代Linux系统的设备管理
- web安全防范之XSS漏洞攻击
- 整理关于牛人们对图书管理系统领域建模的精彩讨论,以此希望大家学习下别人是如何思考的
- 利用新云网站管理系统漏洞成功获取某大型书店Webshell
- PHP代码网站如何防范SQL注入漏洞攻击建议分享
- 大型JavaWeb分布式系统中关于maven多模块构建以及代码依赖管理
- 关于系统服务、进程、共享文件夹管理的几个方式
- [转载]关于标签管理系统
- 关于广告位管理系统设计-广告位销售记录表的设计
- 关于企业内容管理系统(ECM)
- 关于系统管理工具杂谈 tmux IPython
- linux驱动程序之电源管理之新版linux系统设备架构中关于电源管理方式的变更
- 关于三维规划管理系统的建议书(部分)
- 教学管理系统-ClassNotFoundException