打开直接试了试默认的用户名和密码,结果用admin admin进去了
这个后台太简单了,估计不是这个网站的真正后台,是网站另一个组成部分的后台,没什么用,
再记一次网站入侵网站安全
。再次浏览网站,未发现注入点,不过看到他有个BBS,打开看到版本是DVBBS8.0的。首先DVBBS8.0是有漏洞的,就看他有没有打补丁了,接着便从入侵最简单的猜测+默认开始,直接访问BBS后台提示登陆,用默认的admin admin888登陆失败,再次访问DVBBS数据库,看看能不能把它数据库下载下来,结果成功下载到了数据库,发现后台密码是默认的,可是怎么登陆不了呢?
对了,还有个前台密码,可能前台密码不是默认的吧,在DV_USER表中找到了前台密码,这次成功登陆进去了,
电脑资料
《再记一次网站入侵网站安全》(https://www.unjs.com)。DVBBS8.0后台拿webshell网上教程一大堆,可以去百度一下。大体如下:
1.创建一个数据库文件并插入一句话马。
2.后缀改为rar或其他DVBBS支持上传的格式。
这里备份数据库要注意一下,以前我们拿DVBBS都是备份成asp格式,但现在DVBBS最了后缀限制了,那怎么搞呢?
记不记得IIS6.0的那个以.asp命名文件夹,该文件夹下的所有文件都会被当成asp文件执行的漏洞?关键就在这里了,我们备份一个目录名带.asp的。不就OK了?
本文来源于:尼克技术博客 http://www.ineeke.cn/ , 原文地址:http://www.ineeke.cn/archives/504/