找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2697|回复: 0
打印 上一主题 下一主题

ZDSoft网站生成系统漏洞及修复

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-11 21:09:55 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
D、oft网站生成系统严重漏洞,可导致网站服务器直接被拿到最高权限、
9 Q. q, s/ Y1 |; W: g) J: b1.后台权限绕过漏洞
% M! g  J5 T+ uhttp://www.zdsoft.net/admin/left.aspx 后台菜单
$ @( X9 J  S# T/ A2 h! \: U9 ]. \如果没有登录,就会js跳转到登录页,禁用js就可继续访问,后台部分文件限制了权限,不过可以修改网站用户密码是没问题的
! T* ^  g% W% @/ u" g# f5 C: xhttp://www.zdsoft.net/Admin/sqlPlatform/operateSql.aspx
! a; \" I1 Z5 {4 m) v  R此处可以执行sql,就不用登录了
2 q/ @+ R2 r0 L: U0 X. X: C6 v+ b  E
2.http://www.zdsoft.net/Admin/sqlPlatform/sqlLogin.aspx' M: X; o/ s& k# T) R8 @2 U' V3 F1 w
此处是SQL操作平台,除去上面绕过的漏洞,还可以直接登录,用户名和密码是固定的7 ~, i) _" K' n( n* A
用户名:sbwSqlAdmin 密码:sbwPass@word1
) \; c: f! h8 Kzdsoft大部分网站数据库用户都是sa,所以此漏洞非常严重8 {! r8 b6 I/ L" k& u

% h3 I8 P' `; A3 S2 w4 P' f
7 m; i) u, `1 a) e4 ]- t3 b* T8 Q9 p" g

9 H2 R! `  s5 ~) N/ B6 j  ?# [- J7 v
                                   1 e1 r' T$ N  x$ C' I! e6 f
& X* y) I. A8 t8 I
                                 ) I' T) _6 C  A: f+ \8 ~% E
" Y8 x& N; H9 C6 }5 d

/ x) d8 n* X' R% Z, B  a! Z修复方案:
! P- W% i& Y! i% [3 R  ijs跳转代码之后response.end* S) ^! S: F+ R* z

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表