奥运会网球比分规则|雪缘网网球比分直播|
歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

百度游戲的一些安全隱患

來源:轉載 作者:佚名 時間:2010-05-16 TAG: 我要投稿

作者:yesu (http://hi.baidu.com/3hack_yesu


1.注入點

http://yx.baidu.com/Hall/game/rank_fxq.asp?order=bean&page=2&sort=0&nick=


http://yx.baidu.com/down/down_game.asp?tn=1



2.跨站

地址就不發了


3.后臺暴露



4.由于后臺暴露出來,導致暴露多個敏感目錄和文件

比如:http://yx.baidu.com:99/news/upload.asp 上傳

再如http://yx.baidu.com:99/main.asp。感謝阿江探針


注意觀察,找到Application 變量列表可以看到一些有用的信息

站庫分離,數據庫是內網的。

192.168.2.12,1433

uid=web

[email protected]?

database=WebAdmin

本機:119.146.222.37

由此密碼,我們還可以社工一二下去

http://yx.baidu.com:99//eweb/ 應該是EWEBEDITOR,希望不是精簡版的

http://yx.baidu.com:99/eweb/admin/login.asp   ewebeditor的登錄頁面,oye


這個是其中危險很大的一個敏感目錄了

查看其版本

這里,我們看到有遠程上傳,就是那個小地球。呵呵,拿shell的方法可以去百度。

本人并無實質性入侵。僅是講解。謝謝圍觀

【聲明】:黑吧安全網(http://www.nddver.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        奥运会网球比分规则
        棋牌游戏能提现的都有哪些 c罗总进球数 山东十一选五走势图360 买海南彩票软件 赚钱方法刑法笑话 韩国快乐8开奖结果查询 比格披萨赚钱吗 陕西快乐十分开奖网站 官方彩票网站投注平台 山西11选5