万众电子期刊在线阅读系统ASP版本getshell

最近在看一套信息分类系统。看了好久毫无头绪,结果意外的发现了他们使用了万众电子期刊ASP版本。于是找来源码看了下。意外的发现了sql注入以及集合IIS6的getshell
1.sql注入

很明显的

直接就admin’or’=’or’就可以万能密码登录了
1

2.getshell 需要结合解析来进行

很明显,我稍微处理下

如果我传入的picdir=1.ASP;.JPG那么不是就生成了这个目录。然后随便传入图片马儿就可以getshell了

11

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录