« 上一篇下一篇 »

YYCMS音乐程序 v4.0 VIP版 漏洞

影响版本: YYCMS音乐程序 v4.0 VIP版 
漏洞描述:

只是看了一下数据库文件 conn.asp 文件里 数据库地址是 YYCMS_Data/#67tingdata.asa.刚开始以为这个是默认的数据库 后来查看数据库文件发现 数据库是 /YYCMS_Data/#user.asa1,后来发现这个程序竟然和 www.67ting.com 相似~~ 绝对是修改人家程序的~~ 笨到连conn.asp 文件里的数据库地址都没修改 这个网站大家不要去看啊~~网站里边病毒很多 我已经中招了 CPU使用瞬间飘升 100%
 
漏洞一:
YYCMS_Data/#user.asa1 没有做防下载处理 老方法 修改#号 为 % 23(中间空格去掉) 可以直接下载
 
漏洞二:
后台地址 yyadmin/admin_login.asp 后台文件中 还有个 上传页面可以直接访问/upload.html 大家可以自己上传测试 这里就不说了~~~