校无忧系统默认配置getshell - 网站安全 - 自学ph

官网啊：http://www.xiao5u.com/

http://www.xiao5u.com/Product/Survey.html

具体不清楚版本信息，但是通过官网的成功案例中测试多个站点，几乎都是默认配置可以直接后台getshell. 默认配置数据库:data\xiao5u.mdb

太多的案例我就不一一相关的去列举出来了。官网案例地址：http://kh.xiao5u.com/?cn=Survey

下载数据库然后破解账号密码：

破解md5,登陆后台--上传图片--数据库备份首先在:admin/upload.htm上传图片。然后再:在备份拿shell.

修复方案：

于此同时还存在xss 漏洞，代码直接入库没有进行过滤.

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://www.haodehen.cn/did15107

更新时间：2022-09-13 阅读：50次