对某学校威海分校的一次检测

本文讲述了作者在ISCC比赛后,对威海分校网站进行的一次安全检测。通过扫描发现FCMS内容管理系统,尝试使用默认密码但未成功。分析服务器信息,发现ISS 6.0解析漏洞和VBScript版本,但未能利用备份数据库获取敏感信息。此外,还探讨了xeEditor编辑器的上传漏洞和可能的ASP注入点,但由于服务器可能修补了漏洞,攻击未能进一步进行。最后提到了WAF绕过和XSS漏洞的探索。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ISCC比赛归来,被大神虐,总有一些蛋疼,于是拿自己学校泄愤一下,找到了威海分校的主页,拿wvs一顿狂扫,整理结果如下。

后台的地址(均尝试过万能密码,怀疑那些一式万能密码就成功地人是什么人品):

校长信箱的后台地址

http://www.hitwh.edu.cn/box/old/login.htm


网站使用了FCMS,后台有两个,默认密码分别是admin8  admin8(后台) admin admin (留言管理),发现后台密码被修改了,留言管理密码是默认的。

百度FCMS这个内容管理系统,并没有发现什么漏洞,比较蛋疼。



登录进留言板后台,发现了服务器的相关信息。

物理路径是G盘,这说明服务器貌似分了很多盘,ISS版本6.0存在解析漏洞

以及服务器解析引擎VBScript/5.6.8850 

在里面找了一下,发现一个备份数据库和压缩数据库的地方,备份数据库会直接提示成功,压缩数据库会提示失败,并爆出了数据库的地址,

果断拉到迅雷里下载,未果。下载一个FCMS,本地查看该数据库内容

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值