作者:叉叉兵
这次继续爆hzhost6.5虚拟主机管理系统的SQL注入漏洞。
只讲两个要点。
第一,如何拿网站管理员权限。
第二,如何备份木马。
这次不是简单的注射点,而是经过安全函数过滤的了点。由于对方没有将变量用单引号包起来,而过滤函数又未过滤完全,导致我们有机会进行注射。
我这次还做了个动画。一并发放。希望能让大家玩得”happy”!哈哈。。。
httP://www.xxbing.com QQ178737315
阅读全文 »
Tags: HZHOST,
SQL Injection,
SQL注入,
漏洞
作者:叉叉兵
这是一个域名主机实时管理系统。在百度搜索: title: (域名主机实时管理系统) ,会找到大量采用这种系统的网站!太术语了。就是在线开通ftp.sql.web的一个管理系统。一套web程序。和IIS管理程序。实现在线开通的玩 意。所以:我们可以免费申请域名和空间!!哈哈!!!
web程序方面写的非常严谨。大量的过滤。由于是商业版的程序,所以我没有源码。本来是有的,但是放在家里的电脑上。放暑假时搞的shell现在都被删了。。。我现在又比较懒,就没去弄源代码。反正大家知道怎么弄的就行了。
阅读全文 »
Tags: HZHOST,
SQL Injection,
SQL注入,
漏洞
