后台验证可By pass。
后台地址为http://www.xxx.com/index.php?igo=be,admin,login
以官网为例
账号:admin' or''='
密码:随意
进入后台
有 PHP info、PHP探针功能可查看绝对路径,或者通过后台的多处爆错可得。
自定义上传类型和路径
SQL语句执行
事后发现,只有存在admin此账号可以绕过,不过大多网站都存在admin账号
查看更多关于iSite cms管理后台身份验证绕过及修复 - 网站安全的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did14693