介于博客昨天晚上的事,我就研究了下Z-Blog的程序、而且我那位老师也给我说了补丁,我试了,没用,不知道是不是、
首先我那位老师说的补丁,就是在 include.asp 这个文件的代码最上面加上: If Not CheckRights(strAct) Then Call ShowError(6) 这一段代码,这是一段是一段限制跳转的代码,
我加了,访问还是一样,不知道是不是对XP系统不支持,还是干嘛,我觉得应该是限制你在Linux系统内做跳转用的,对其他系统不起作用、
还有就是我自己的方案,我昨天晚上可是搞了一晚上的,我去、、
那就是修改后台管理的目录、我昨天研究了一晚上,终于OK了。。可是我今天百度了下,我去,竟然已经有人写出来怎么改管理目录了、、蛋疼, www.2cto.com
害我昨天看了一夜的代码,加分析、、不多说了,直接看吧
Z-Blog的默认管理登陆入口为根目录下的[login.asp],登陆成功后会自动跳转到[admin]目录进行网站管理。要修改默认的后台地址,就要改两部分,一部分是登陆入口[login.asp],另一部分就是[admin]目录名。
需要修改的文件名:cmd.asp FUNCTION/c_system_manage.asp FUNCTION/c_system_event.asp ADMIN/edit_fckeditor.asp 第一是修改的是登入框的页面文件,他的文件在 cmd.asp ,这个文件在你的根目录,你只要用记事本打开,搜索login.asp,就好了,然后替换你想要的xxx.asp,但是经过我的发现,后台登入地址不需要用这个文件修改,可以直接修改的,这两种方法都可以。
第二就是修改管理目录了,这个就麻烦点,因为Z-Blog的程序是套用的,这也导致 漏洞 也多。唉、
1:用记事本打开 cmd. asp 文件,和上面的是同个文件,这次你要搜索 admin/(记住"/"这个斜杠要加的) ,里面要修改的有30个,打比方你要把管理目录修改为Morker,你就把你搜索到的 admin/ 替换成Morker就好了,记住是有30个,
2:然后用同样的方法修改一下文件
FUNCTION/c_system_manage.asp(要修改4个) FUNCTION/c_system_event.asp(要修改2个) ADMIN/edit_fckeditor.asp(要修改3个)
3:修改好后,你就可以把你那根目录的名字ADMIN换成你想要的了,比如Morker 呵呵
OK,修复方案就是这些
查看更多关于Z-Blog1.8权限绕过修复方案 - 网站安全 - 自学php的详细内容...