论坛: 菜鸟乐园 标题: 攻击含有sql+asp问题的网站的疑惑! 复制本贴地址    
作者: frankchen [frankchen]    论坛用户   登录
最近看到一个网站,只有80,3389,1433 port开着,通过web察看,发现存在有asp+mssql
的漏洞问题,也就是执行如下查询
' ;  exec master.dbo.sp_addlogin systest ;   --

测试过xp_cmdshell ping xxx.xxx.xxx.xxx后,本机有反映,于是使用加账户
的方法,但是都是没有结果。还有使用echo命令写入后台asp,也没有效果,小弟不甘心
特想知道,既然用ping都可以的话,说明可以用到cmd_shell,那么应该可以用echo写文件进入系统,或者加入普通权限
的sql账户或者是win2000账户。另外对方已经使用过防火墙,可以出,我
发送ping指令从他的机器上出来,但是我机器却无法返回icmp给他。
小弟心有不甘。想讨教原因。

地主 发表时间: 02/22 03:52

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号