昨天研究一个网站时,发现它使用了“讯时网站管理系统”,具体版本不知道,但他的news_more.asp存在SQL注入漏洞,但由于我只找得到Access数据库版的,因此利用价值不大。在此分享出来。
首先列出产生漏洞的代码(news_more.asp):
[vb]
lm2 =trim(request("lm2"))
lm=trim(request("lm"))
if lm2="" then lm2=lm
if lm="" then lm=lm2
if lm2="" then l[……]
我之前写过一篇关于破解 ArtIcons Pro 5.2 的文章,那时的 ArtIcons 5.27 估计是程序设计时出现错误,导致了只要输入符合规则的字符串即可成功注册的错误。但这种错误毕竟不多见,因此今天我们还是要来一次真正的暴力破解,以便能够随便输入注册码就注册成功(为什么不直接获取注册码?那是因为我没有精力去分析注册算法)。
首先还是来常规的检测和信息收集。
第一步,打开 PEiD 0.95,检查是否加壳。
现在很多学校都有自己的信息学在线评测系统,如北京大学(http://acm.pku.edu.cn/JudgeOnline/)、浙江大学(http://acm.zju.edu.cn/onlinejudge/)、树德中学(http://125.71.210.6:8001/)、石室中学(http://www.ssxdzx.net/)等,这些都为参加NOIP竞赛的学生提供了很好的学习、测试、交流的平台。但是网站系统的安全性却不尽人意,如湖南师大附中的“Vijos(高效信息学在线评测系统)”(http://www.vijos.org/)最近因为被入侵和技术性问题而关闭了,原因显然是网页和评测系统的安全检[……]