ZDSoft网站生成系统漏洞及修复

admin · 发表于 2013-1-17 09:53:23

DSoft网站生成系统严重漏洞，可导致网站服务器直接被拿到最高权限、
1.后台权限绕过漏洞
http://www.zdsoft.net/admin/left.aspx 后台菜单
如果没有登录，就会js跳转到登录页，禁用js就可继续访问，后台部分文件限制了权限，不过可以修改网站用户密码是没问题的
http://www.zdsoft.net/Admin/sqlPlatform/operateSql.aspx
此处可以执行sql，就不用登录了

2.http://www.zdsoft.net/Admin/sqlPlatform/sqlLogin.aspx
此处是SQL操作平台，除去上面绕过的漏洞，还可以直接登录，用户名和密码是固定的
用户名：sbwSqlAdmin 密码：sbwPass@word1
zdsoft大部分网站数据库用户都是sa，所以此漏洞非常严重

修复方案：
js跳转代码之后response.end

我是一个爱好者 · 发表于 2013-2-1 08:19:46

感谢党和人民的关爱~~~

怡存礼高 · 发表于 2014-9-22 03:15:40

嘿嘿

尼玛丫 · 发表于 2014-10-26 14:03:42

感觉好像在哪里看过了，汗~

吴蔚蔚 · 发表于 2014-11-5 22:43:54

先看看怎么样！

无知的神 · 发表于 2014-11-18 13:09:44

先顶后看

尘封的记忆 · 发表于 2014-12-6 08:37:49

…没我说话的余地…飘走

却、 · 发表于 2014-12-29 13:38:13

感觉好像在哪里看过了，汗~

勒布朗__小超 · 发表于 2015-1-29 10:08:44

希望大家帮我把这个帖发给你身边的人，谢谢！

寂寞才抽烟 · 发表于 2015-3-3 11:10:18

…没我说话的余地…飘走