禁用java跳过本地验证实例


来源:习科技术论坛   作者:aijieyu

目标:http://www.xxoo.com.cn
ASPX+access的+IIS7.5的站点
那么多大神都搞过,要说存在什么注入和编辑器什么的大神们早就搞了!
虽然这样扫描还是要扫的,但是我扫的是目录
找到后台
http://www.xxoo.com.cn/manage/login.aspx

 

弱口令什么的都是没有的,试试有没有注入
提交admin  123456 提示密码错误再试一下

禁用java跳过本地验证实例_第1张图片

 

admin’ 123456 提示用户名错误

  其实这就存在了注入漏洞,前一阵子有人专门写了一片关于这情况的注入,大家可以去看一下
然后尝试注入,但是后台过滤了分号和空格,没尝试能不能饶过去。
接着看了一下工具扫出了这个链接http://www.2cto.com /manage/

点其他的功能就会提示你要登录,这很明显是采用了本地验证的办法,我们直接把本地的JAVA禁用就可以了

禁用java跳过本地验证实例_第2张图片

 

然后直接点添加用户新添加一个用户

禁用java跳过本地验证实例_第3张图片

 

接着用新添加的用户登录后台

禁用java跳过本地验证实例_第4张图片

 然后直接在下图处上传ASP马即可

 小马的图

禁用java跳过本地验证实例_第5张图片

 

你可能感兴趣的:(禁用java跳过本地验证实例)