您现在的位置是:芭奇站群管理系统 > 学习收录 > -> phpweb 注射+上传+安装文件漏洞+万能密码(含修复方案)

phpweb 注射+上传+安装文件漏洞+万能密码(含修复方案)

时间:2018-11-09 19:50

1.漏洞
非法地址,获取shell,影响目录:news、down、photo
http://www.phpweb.net/down/class/index.php?myord=1{sqlinjection}.
解决:修改各个模块中\module下的*Query.php,将if($myord=="")修改成if($myord!="" or $myord!="uptime" or $myord!="cl");
2.漏洞:
安装目录漏洞
解决:系统安装完毕后,将base下的install删除
3.漏洞:
万能密码
www.***.com /admin.php
用户名和密码: admin 'or '1'='1 或者1' or 1=1 or '1'='1


另:取消首页的短横线‘-’
在网站根目录找到base/templates/header.htm
用记事本或者其他编辑工具打开 header.htm
找到如下代码:

这就是网站的title,即网站标题
去掉{#pagetitle#}和{#sitename#}中间的‘-’
这样就可以了