某企业网站整站漏洞

By：muhuohacker

关键词 inurl:NewsClass.asp?BigClass=企业新闻

此漏洞主要是因为虽然加入了通用的防注入系统，但在shownews.asp页面没有对cookie传进去的变量做过滤，造成的。

后台地址/admin。
下面说明从查找到获取shell的步骤。
1.在google和百度中搜索此关键词，基本上包含此类漏洞的网站。
2.选取存在漏洞网址，用cookie中转注入工具，获得用户名密码。
3.在添加分类处，添加一句话木马“┼攠數畣整爠煥敵瑳∨≡┩>”
4.在备份数据库处，把数据库备份成后缀名为asp的形式。
5.用客户端连接上传大马！