呵呵 刚才实在是闲着没事干,就找了个网站检测检测,俺不是什么高手,搞不了什么大网站,就是喜欢没事研究研究,今天在自己的地盘上献个丑。
目标:
http://www.xianfp.gov.cn/
发现有ewebeditor存在。
http://www.xianfp.gov.cn/ewebeditor
于是提交:
http://www.xianfp.gov.cn/ewebeditor/admin_login.asp
打开是这样的:
MD,没输入密码的地方啊,就算知道密码和用户名也没用啊。。果真如此?我们来试试:
把当前页保存到本地为html文件,打开修改代码,原来的是这样的:
我们加上一个输入密码的框变成如下:
记住,一定还要修改表单action后面提交路径,注意看两幅图的差别!
然后我们双击打开本地的这个html文件,打开后你会发现很难看
,o(∩_∩)o...哈哈 没事,虽然难看但是实用啊,接着我们输入用户名admin 密码admin
回车。OK登陆成功:
我们加样式,随便选择一个点他后面的拷贝:
之后就多了一个名为standard1的样式,然后点设置,文件上传类型加上asp或asa或cer等可以被asp.dll解析的文件后缀,之后保存。
然后选择预览,接着随便点一个上传文件的,选上我们的asp木马就可以传上去了,成功拿到Webshell。
留个txt走人。
http://www.xianfp.gov.cn/neeke.txt
兄弟们(主要是我班里的同学),看到没,其实学到最简单的HTML语言就是如此的有用,如果这里我不懂HTML的,肯定是没法入侵他的,即便是我知道他密码。
现在兄弟们,知道学好这些东西是多么的有用了吧?还有JSP,JAVA,
C语言,MS
sql等
数据库,这些的用处是大大滴!!!o(∩_∩)o...哈哈,所以大家一定要好好学!!!
注意:此帐号和密码本人已改,防止他人继续搞破坏。
本文来自:Neeke's blog
原文地址:
http://www.ineeke.cn/archives/2008/03/248.html
