EASYNEWS新闻管理系统 v1.01 正式版有多处漏洞
一 ReadNews.asp
request_NewsID=Request.QueryString("NewsID") 传递得到的新闻编号NewsID
rs.Source="select * from News where NewsID=" & request_NewsID 查询所有符合条件的记录
NewsID为过滤,直接注入 后台地址:admin/admin_login.asp
二 存在ewebedit在线编辑器漏洞
后台目录 :admin/WebEdit/Admin_Login.asp
数据库:admin/Webedit/ewebeditor.asp
三,过滤不严,留言本出可插入一句话直接获取webshell
留言本数据库地址:ebook/db/ebook.asp
多重随机标签