飞天论坛系统最新注入工具近期忙,好久没出工具,利用星期天搞了个,可以拿150个左右的站,不算少哟!漏洞成因及利用方法如下:
飞天论坛系统—FTBBS6.3的myinfo.asp等多个页面存在注入漏洞,代码如下:
userid=request.QueryString("userid")
sql="select * from clubuser where clubuser_id="&userid
set rs2=server.createobject("adodb.recordset")
rs2.open sql,conn,3,1
系统集成了防注程序,但防注程序没有转换大小写,可以轻松绕过。为了方便,写了个工具,现将利用工具拿webshell的方法演示如下:
第一步,到百度搜索有洞站点。关键词: inurl:ftbbs.asp (约有 150个查询结果)
第二步,打开工具,填入网址(以本机建站演示)暴出密码
第三步,导入密码
第四步,解密MD5
第五步,进后台,增加上传文件类型 ASP (注意,是大写)
第六步,前台注册
第七步,点“上传”,创建一个相册,然后上传ASP网马,查看属性,成功拿到webshell.
工具下载(需注册成会员):
http://www.519it.net/bbs/viewthread.php?tid=110&extra=page%3D1
