前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >E路阳光

E路阳光

作者头像
脑洞的蜂蜜
发布2018-02-01 17:27:39
1K0
发布2018-02-01 17:27:39
举报
文章被收录于专栏:NetCore

早上没事情做,随便打开了一个文件夹(e路阳光论坛)

论坛是dvbbs 7.0 sp2的,做了界面放了些插件,看着目录,看到几个插件的文件,随便打开一个。。。。。。。。晕死,低级漏洞,没过滤,测试一下,我日,只是个弹出界面,不想利用,再找其他插件文件,还是一样,没过滤

文件:checksheep.asp

代码语言:js
复制
sub checksheep() 
dim username 
username=dvbbs.membername 
if username=""  then 
response.redirect"login.asp" 
exit sub 
end if 
dim sheepname,sheepid 
          sheepid=request("id") 
          dim dellifeday,sheeptype,sheeppic,milkname,milkprice,eatname,eatplushungry,cleanplusclean,sunplushealth,peiplushappy,uplife 
          dim freezpay 
          set conn1=server.createobject("adodb.connection") 
          conn1.open dbname  
          set rs=server.createobject("adodb.recordset") 
          rs.open"select * from sheep where id="&sheepid&" and username='"&username&"'",conn1,1,1 
          if rs.bof then'没找到宠物 
                %> 
                <script language="Vbscript"> 
                   msgbox"您不是这只宠物的主人!",0,"提示" 
                   history.back 
                </script> 
               <% 
               rs.close 
               conn1.close 
                 exit sub

找到漏洞了,测试也通过,其实我觉得动网现在已经很安全了,听说sp3马上要出来了,经过几年的风雨,动网一定会成为论坛的主导者,不过个人认为还是插件少放点,毕竟不是动网的人员写的。这个插件实在。。。。。。。。一点过滤都没有,无语了,还可以通过欺骗进入到后台。

时间不早了,上班,圣诞快乐

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2004-12-24 ,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
网站建设
网站建设(Website Design Service,WDS),是帮助您快速搭建企业网站的服务。通过自助模板建站工具及专业设计服务,无需了解代码技术,即可自由拖拽模块,可视化完成网站管理。全功能管理后台操作方便,一次更新,数据多端同步,省时省心。使用网站建设服务,您无需维持技术和设计师团队,即可快速实现网站上线,达到企业数字化转型的目的。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档