欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

百度游戏的一些安全隐患

来源:转载 作者:佚名 时间:2010-05-16 TAG: 我要投稿

作者:yesu (http://hi.baidu.com/3hack_yesu


1.注入点

http://yx.baidu.com/Hall/game/rank_fxq.asp?order=bean&page=2&sort=0&nick=


http://yx.baidu.com/down/down_game.asp?tn=1



2.跨站

地址就不发了


3.后台暴露



4.由于后台暴露出来,导致暴露多个敏感目录和文件

比如:http://yx.baidu.com:99/news/upload.asp 上传

再如http://yx.baidu.com:99/main.asp。感谢阿江探针


注意观察,找到Application 变量列表可以看到一些有用的信息

站库分离,数据库是内网的。

192.168.2.12,1433

uid=web

pwd=MY.szkj@21o.C0?

database=WebAdmin

本机:119.146.222.37

由此密码,我们还可以社工一二下去

http://yx.baidu.com:99//eweb/ 应该是EWEBEDITOR,希望不是精简版的

http://yx.baidu.com:99/eweb/admin/login.asp   ewebeditor的登录页面,oye


这个是其中危险很大的一个敏感目录了

查看其版本

这里,我们看到有远程上传,就是那个小地球。呵呵,拿shell的方法可以去百度。

本人并无实质性入侵。仅是讲解。谢谢围观

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载