【原创】这样的网站想不被入侵都难啊!!


广告:

今天闲着无聊,就到处逛,后来来到了广告海(http://www.adsea.com.cn)这个网站,是一个做广告的网站,页面设计得海不错。突然一个邪念在我的念头出来了“看看它的安全性怎样”,于是就有了此文。
    先不检测注入点了,还是先看看它的后台怎样再说吧,不然到时候注入点找到了却找不到后台的话真的是会气死人的。先试最简单的吧,直接输入http://www.adsea.com.cn/admin/,很幸运地,居然看到了后台^_^。

    那接下来就再猜密码吧,看看还会不会那么好运气,试一下帐号“admin”,密码“admin”,再输入验证码之后提交~~~~晕啊~~~看来我今天的运气真的很不赖嘛~~~居然这样就进入后台了~~~

    那么接下来就不用客气了,先看看有没有数据库备份功能先~~~
    可惜,没有,不过既然我一开始的运气这么好,说不定还会继续好下去呢~~^_^,试试先吧^_^~~
    随便找一个可以上传文件的地方,我就找了【添加广告内容】这个地方,找到我的木马,点击上传~~不一会儿居然弹出提示:

    哈哈,我的运气真的是太好了,马上提交http://www.adsea.com.cn/admin/20071021154118689.asp

    怎么会这样,刚才不是提示上传成功了吗??正在郁闷中的时候突然想到,对哦,上传文件一般都是上传到“upfile”这类的目录中的,试一下补全看看。再次提交http://www.adsea.com.cn/admin/upfile/20071021154118689.asp,还是不行,再试http://www.adsea.com.cn/admin/upfiles/20071021154118689.asp,哈哈,这次成功啦~~看来老天真的很眷顾我啊~~~

发表评论

电子邮件地址不会被公开。