By:muhuohacker

关键词 inurl:NewsClass.asp?BigClass=企业新闻

此漏洞主要是因为虽然加入了通用的防注入系统,但在shownews.asp页面没有对cookie传进去的变量做过滤,造成的。

后台地址/admin。
下面说明从查找到获取shell的步骤。
1.在google和百度中搜索此关键词,基本上包含此类漏洞的网站。
2.选取存在漏洞网址,用cookie中转注入工具,获得用户名密码。
3.在添加分类处,添加一句话木马“┼攠數畣整爠煥敵瑳∨≡┩>”
4.在备份数据库处,把数据库备份成后缀名为asp的形式。
5.用客户端连接上传大马!