禁用java跳过本地验证实例 - 网站安全

来源：自学PHP网时间：2015-04-17 12:00 作者：阅读:次

[导读] 目标：http://www.xxoo.com.cnASPX+access的+IIS7.5的站点那么多大神都搞过，要说存在什么注入和编辑器什么的大神们早就搞了！虽然这样扫描还是要扫的，但是我扫的是目录找到后台http://www.x...

目标：http://www.xxoo.com.cn
ASPX+access的+IIS7.5的站点
那么多大神都搞过，要说存在什么注入和编辑器什么的大神们早就搞了！
虽然这样扫描还是要扫的，但是我扫的是目录
找到后台
http://www.xxoo.com.cn/manage/login.aspx

弱口令什么的都是没有的，试试有没有注入
提交admin 123456 提示密码错误再试一下

admin’ 123456 提示用户名错误

其实这就存在了注入漏洞，前一阵子有人专门写了一片关于这情况的注入，大家可以去看一下
然后尝试注入，但是后台过滤了分号和空格，没尝试能不能饶过去。
接着看了一下工具扫出了这个链接http://www.2cto.com /manage/

点其他的功能就会提示你要登录，这很明显是采用了本地验证的办法，我们直接把本地的JAVA禁用就可以了

然后直接点添加用户新添加一个用户

接着用新添加的用户登录后台

然后直接在下图处上传ASP马即可

小马的图

更多文章推荐