iSite cms管理后台身份验证绕过及修复下载

来源:黑吧安全网 浏览:2649次 时间:2014-04-30
做网站找雨过天晴工作室

后台验证可By pass。
 
后台地址为http://www.xxx.com/index.php?igo=be,admin,login
 
以官网为例

 
账号:admin' or''='
 
密码:随意
 
进入后台

有PHPinfo、PHP探针功能可查看绝对路径,或者通过后台的多处爆错可得。

 
自定义上传类型和路径

SQL语句执行
 
 
事后发现,只有存在admin此账号可以绕过,不过大多网站都存在admin账号