题目21：网站漏洞攻击之XYCMS企业建站系统.docxVIP

关卡二十 题目 网站漏洞攻击之 XCM企业建站系统 描述： 公司搭建了门户网站，使用了 XCM企业建站系统。但是经过 一段时间的运营，发现公司网站经常受到黑客的攻击， 给公司 造成了很大的不便和损失。上级领导要求尽快查清原因，作为 网络安全维护人员，请查找公司网站可能存在的一些漏洞至少 两个。 答案提交： 1、请提交获取的key值 参考步骤： 1. 进入关卡二^一，点击查看IP地址获取靶机IP I题目100：网站漏疽攻击之企业盛占粟统 I公司搭建了门户圖站.使用了晌涮!滇站系纯*怛是劣柱一段fi寸间的运菅.发现仝司网站经常 受窘黑客的攻击.站呑司遗成了很大的不便和损失。上级领寻翌求尽快查清嵐因.作为阳络安全 维护人员，情萱杭公司网站的诉洞?幷螫证此堀櫃是否可C/萱看网站上的重婪交阵。 t￡，■■車要玄牛萼破在喑根目录H请氏菽取到的内容年为My值逬行提応 PAGE PAGE # 2.获得的靶机IP地址 3.打开场景工具Window Xp 渗透攻击机 4.进入xp渗透攻击机，打开浏览器浏览将要攻击的网站 灯C燈企业連站索统V24戏世您T 网站据码开览、厦楼制作.页面设计、冋站订 灯C燈企业連站索统V24戏世您T 网站据码开览、厦楼制作.页面设计、冋站订1 n御朮 m 15 LSE/dir^l asp?id-l￡ 5.SQL注入 使用“啊D注入工具”对网站进行漏洞测试 - C 172* 16. 1. 62 7轻松上手 ￡少编捲荐应用 匚I第用洌站 □ A IE中导入 D榔1注入工具v2. 32増强腋 暗俎技术tfc坛darkst. co?扫描注入点检测网址rr粘企业養站紊抚V2. 3欢迎悔（http 7/172.10. 1.0Z/養跃教育http://w*w, yu lerowi. cn首页 孚较資诩 学校简介 开班信見 培认頌冃 師贯团尿阿站話眄开发、凰应制祚“管理人口检测r D榔1注入工具v2. 32増强腋 暗俎技术tfc坛darkst. co? 扫描注入点 检测网址 rr粘企业養站紊抚V2. 3欢迎悔（ http 7/172.10. 1.0Z/ 養跃教育 http://w*w, yu lerowi. cn 首页 孚较資诩 学校简介 开班信見 培认頌冃 師贯团尿 阿站話眄开发、凰应制祚“ 管理人口检测 r n 浏览网页 PS^ 一亠灿 N 可用注入[10] l 1.52/common. as 1. 1.62/comfnan. asp1? i d-l http： //1T2. IB. 1.62/shawnEWE. agp?id=61 kttP：//172.i. i.號丿业叶# asp?4J=4 http：//lT2 1. 1.02/showkbMK. asp?id.z32 Ikt tp ： //172. IB. 1.號/sho wt earn. 4Ep?i d^35 http：//1TZ. 15. 1. QZ/showpiEicB. aisp?id?24 kt Ip ://I72. 1. l.aS/sh^Myjf. isr?i^35 NttD：//lT2. 1. LOZ/showzEjz. asp7id?2T http://i72. 1 I.eS/ihovjyEd. aEp?id^g http：//lTZ. 16. L SZ/shovdowiiloajl. asp7id^l9 彳目关工具 设置握项 艾于― 继续对注入点进行SQ注入，但没有发现可利用的信息，表明此处无 漏洞 6.XSSS洞利用 在留言本-留言标题中插入XSSi卩本， scriptwi ndow.alert(docume nt.cookie)；v/script H曲 7KNA 歼姬L塑 宜*晌LI H煜IT出 苕蚯■営 H*町H SLUJfi!^ I-IK 鹅*圃罕 悍审禅函 （歼屮 宜U甘处 、釧标:Ih *姓若; 丹轴写 巧■胃阳弄-辭不主好 方槎电哮甘嬴|耶FFE21开 炸嗨，R察1话爲，b茹平舍丄芹 罡占哮雄： 4舌 2 遶田时木岂対余IT型|第住示 *貓炖 ■ 金盘it洁书滾 ASP+ACCESS 41 IT M1 fH^xycms 他 w w w, jul p r0^pi/^R ⑵ 返回带有cookie的提示窗 7.编辑器漏洞利用 (1)利用编辑器漏洞进行在网站上生产a.asp目录 2/admi n/xyewebeditor/asp/upload.asp?action 二savetype二imagestyle二popupcusdir二a.asp 《 0 O 172.15.1. 62/adjiiin/xyeUrebEdi.tor/adnln/uploa± asp?actlon.= saYefctype=liagi F轻松上手 V小漏捲荐