标签 ‘dxbbs’ 下的日志

dxbbs漏洞(通杀7.3以前所有版本)

来源:茄子宝的垃圾堆

漏洞出现在User_Friend.aspx , 由于过滤不严,造成name允许注入, 不多说了,自己看吧。
——————————————————————————————-
http://www.dxbbs.cn/

这是DXBBS官方网站,版本是7.3,用的access数据库

在User_Friend.aspx?Action=Add&Name=admin加上''

典型的过滤不严,由于是access,在没有工具的情况下,只能一个一个猜解了

默认管理员是admin, 我们来猜解admin的密码, 工具是老兵的注入浏览器,用的是asc转换猜解法, 我已经下载了一份源代码,可以看一下数据库结构
阅读全文 »

Tags: ,