声明:原创文章,转载请指名来自华夏黑客联盟(),违者必究! 关键字:ExchangeSM.aspx 没深入研究关键字,大家可以试下看看有没有更好的关键字。 漏洞很简单,就是有个fac的漏洞。我们先来讲讲fac的漏洞吧,目前除了{zx1}版,全都有漏洞。 看版本 爆路径 新建目录 列目录: 上面有些东西可以更改的,大家灵活运用。 现在来说下泊众棋牌的网站程序上的漏洞跟利用方法: 列目录: 上传shell: 下面我们找一个站来做列子,比如: 我们用上面的漏洞来看看。{dy}个列目录不行,是因为权限问题。 两次上传1.asp;.jpg 默认上传目录是Upload/FCK/image 这样我们得到shell:(1).jpg 得到shell后我们就可以通过web.config来查出数据库连接信息。 这个时候我们就可以通过数据库直接刷库了,也可以xx管理密码进后台进行刷库操作,如果密码解不开就直接加一个用户进去。 如果是sa权限,我们还可以提权拿服务器,当然,db也可以,不过需要时间。 进到后台后就去会员管理那修改自己的游戏币了。好了,教程就到这了。 |