新点软件 asp.net 漏洞小分析 - 网站安全 - 自学p

 

漏洞比较鸡肋，如果网站没有关闭会员注册的话是可以利用的，(主站fckeditor漏洞已补) www.xxxx.com/会员路径/  注册后登陆，点击编辑添加信息（附件添加上传无法利用）

 

添加信息后，点击这条信息会出现地址Pages/HuiYuanInfo/AttachManage/AttachAct_Single.aspx?CliengGuid=845568aa-b4db-4001-a95d-40590995f8df&ClientType=17&ModuleType=3008

 

把此路径放入检测工具 进行检测，可以发现这个是db权限的注入点，（新点一般都是独立服务器，而且数据库几乎没有sa权限）然后进行注入点利用，因为这段时间一直在忙，所以一直没有发帖，写的有点匆忙，请见

 

量，我会在后面的时间陆续写下一些原创的东西分享给大家。提前祝大家圣诞节快乐，祝大家工作顺利！

摘自 Nuclear'Atk 网络安全 研究中心

查看更多关于新点软件 asp.net 漏洞小分析 - 网站安全 - 自学p的详细内容...