找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2700|回复: 0
打印 上一主题 下一主题

ZDSoft网站生成系统漏洞及修复

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-11 21:09:55 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
D、oft网站生成系统严重漏洞,可导致网站服务器直接被拿到最高权限、
9 o! f. }* R# b% N: N: B1.后台权限绕过漏洞3 ]2 Z7 }( W% j% A3 H7 B- _4 K
http://www.zdsoft.net/admin/left.aspx 后台菜单: W2 Q. d# D# p/ e) L
如果没有登录,就会js跳转到登录页,禁用js就可继续访问,后台部分文件限制了权限,不过可以修改网站用户密码是没问题的+ Z$ G. `9 o, P# K$ t4 `: k
http://www.zdsoft.net/Admin/sqlPlatform/operateSql.aspx9 C7 @/ G, i7 E7 J( F, Z
此处可以执行sql,就不用登录了2 x4 D8 W5 Q9 P

6 Y$ R* Y( y% P+ d2.http://www.zdsoft.net/Admin/sqlPlatform/sqlLogin.aspx7 H  {! V% l: T  g$ a& O! Z
此处是SQL操作平台,除去上面绕过的漏洞,还可以直接登录,用户名和密码是固定的
0 ^7 Y9 Y  |/ y0 }% z用户名:sbwSqlAdmin 密码:sbwPass@word1
. I" ]# q% g: @9 S6 \; b0 ?, Vzdsoft大部分网站数据库用户都是sa,所以此漏洞非常严重
% n% w: v+ c2 e' }/ ]" y" W# N5 e

; y0 f7 L) o  D" C& F2 t6 L8 n2 Y5 [6 D* w8 w' @0 {& u7 T

. |. g4 w' N" F( f5 J3 a* u$ I% q/ K0 x5 K1 |: I" i
                                   1 ~0 O! q! ^  z
6 p+ C) b9 e! P$ E
                                 
! I! J2 v: M( L4 t6 W
# I5 r& d' B) y4 h1 n1 K; s8 o/ }" D) }/ c- G( A5 u# _
修复方案:
* G% a0 l- M+ U0 w5 Tjs跳转代码之后response.end  N$ {, B4 A4 e& Q- G% v5 x

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表