来源:自学PHP网 时间:2015-04-17 10:15 作者: 阅读:次
[导读] http: service v5shop com statistics aspx这里未设置权限访问 泄露1150条客户信息 同时一些代理商登录账号也暴露了http: service v5shop com system system rar这里源码包没有删除 可以下载源码包。包内有...
|
http://service.v5shop.com/statistics.aspx
这里未设置权限访问 泄露1150条客户信息 同时一些代理商登录账号也暴露了
 http://service.v5shop.com/system/system.rar
 例如页面 AgentAccount_SelectS.aspx
protected void Page_Load(object sender, EventArgs e)
{
if (!IsPostBack)
{
agentID = Request["AgentName"];
Bind();
}
}
private void Bind()
{
DataSet ds = IoCFactory.Instance.Container.Resolve<IAgentService>().GetOneAgentList(agentID);
if (ds.Tables.Count > 0 && ds.Tables[0].Rows.Count > 0)
{
agentName = ds.Tables[0].Rows[0]["LoginName"].ToString();
}
ds = IoCFactory.Instance.Container.Resolve<IAgentService>().GetAgentPriceListS(agentName);
if (ds != null && ds.Tables[0] != null && ds.Tables[0].Rows.Count > 0)
{
GridViewList.DataSource = ds.Tables[0].DefaultView;
GridViewList.DataBind();
}
}
参数未进行任何过滤
http://root.v5shop.com.cn/Admin/Managementlogin.aspx
此处登录存在sql 注入构造 admin' or 1=1-- 输入任意密码即可登录
 进入后台也存在多处注入 权限较高可垮裤 可拿shell
 存在了250个库 危害较大..
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
