找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2551|回复: 0
打印 上一主题 下一主题

ZDSoft网站生成系统漏洞及修复

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-11 21:09:55 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
D、oft网站生成系统严重漏洞,可导致网站服务器直接被拿到最高权限、# Z+ X6 z* g" z# o5 C! K
1.后台权限绕过漏洞; j: T5 ^- J5 @3 [4 a' [* o
http://www.zdsoft.net/admin/left.aspx 后台菜单
% g3 y+ ^3 q7 @* H- I. @如果没有登录,就会js跳转到登录页,禁用js就可继续访问,后台部分文件限制了权限,不过可以修改网站用户密码是没问题的
+ n1 l4 h# P( D; Shttp://www.zdsoft.net/Admin/sqlPlatform/operateSql.aspx
$ C! N& {6 y2 f, q* }此处可以执行sql,就不用登录了1 n# `9 S3 y0 U( c8 n
" i+ C1 P! h: j! Z
2.http://www.zdsoft.net/Admin/sqlPlatform/sqlLogin.aspx& I# r% |: r  ~0 O) X6 W- {! h
此处是SQL操作平台,除去上面绕过的漏洞,还可以直接登录,用户名和密码是固定的
4 H1 n# E8 E& m$ C, o6 e( g用户名:sbwSqlAdmin 密码:sbwPass@word1; ~6 w9 w. ]: C* B% [: p
zdsoft大部分网站数据库用户都是sa,所以此漏洞非常严重) Q! r- `3 T' e! m$ q, {

& u/ s. A& B1 Y2 Y1 P0 }" q! U: L6 J: {( ?) \
- |5 m' U9 k# I* I4 O
. X; B0 f2 g6 p& X

& S* f  g6 [( b7 g2 t- `0 O8 r                                   5 @' W/ q$ L/ T. c( [: d  F$ U% W

: h' ?4 N2 Q8 q6 K& E$ y                                 
' V6 T  K  i* w8 a* `; M" c# H4 C4 ?9 Q( s$ F4 B0 Y% K# S! l" b8 U
- J* S! r/ n2 `4 L/ ]$ S8 [
修复方案:! k- Y1 ?. @' G* I) }* X
js跳转代码之后response.end4 R$ q, _( J1 Q5 a& L9 I

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表