全面利用本地Post方式获取WebSHELL || 中国X黑客小组


	您现在的位置：中国X黑客小组 >> 技术文章 >> 黑客技术 >> 入侵检测 >> 文章正文	用户登录新用户注册

全面利用本地Post方式获取WebSHELL

热

【字体：小大】

全面利用本地Post方式获取WebSHELL

作者：hackmast… 文章来源：网络点击数：更新时间：2007-2-10

一、后台登录连试'or'='or'的机会都没有，就会出现限制，如下的js

<SCRIPT language=JavaScript>

<!--

function CheckForm()

{ 

if (document.UserLogin.Name.value =="")

{

alert("请填写您的用户名！");

document.UserLogin.Name.focus();

return false;

}

var filter=/^\s*[.A-Za-z0-9_-]{5,15}\s*$/;

if (!filter.test(document.UserLogin.name.value)) { 

alert("用户名填写不正确,请重新填写！可使用的字符为（A-Z a-z 0-9 _ - .)长度不小于5个字符，

不超过15个字符，注意不要使用空格。"); 

document.UserLogin.Name.focus();

document.UserLogin.Name.select();

return false; 

} 

if (document.UserLogin.Pwd.value =="") 

{

alert("请填写您的密码！");

document.UserLogin.Pwd.focus();

return false; 

}

var filter=/^\s*[.A-Za-z0-9_-]{5,15}\s*$/;

if (!filter.test(document.UserLogin.Pwd.value)) { 

alert("密码填写不正确,请重新填写！可使用的字符为（A-Z a-z 0-9 _ - .)长度不小于5个字符，不

超过15个字符，注意不要使用空格。"); 

document.UserLogin.Pwd.focus();

document.UserLogin.Pwd.select();

return false; 

} 

loginForm.submit();

return true;

}

//-->

</SCRIPT>

此时可把该登录页面源代码拷贝至本地去掉JS，再进行提交。

二、上传图片时，弹出提示框，只能上传gif和jpg格式的文件。右键源代码看看，如果你是幸运的，又看见了一段JavaScript正好是限制上传文件名称的时候这就来戏了。

同样本地保存页面，去掉JS，再提交。想传什么格式都行，大道通了。其实漏洞都只在于JavaScript的局限性。

文章录入：IceRiver 责任编辑：IceRiver

上一篇文章：注意那些容易被忽略的SQL注入技巧

下一篇文章： db_owner 提权

【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

最新热点		最新推荐		相关文章
				利用最近热门的Xss漏洞能做什利用四种自制批处理文件防御利用xss漏洞能做什么？奇虎360申明：希望与杀毒厂商国家计算机病毒中心发现利用 Google Gadget存漏洞可被利利用木马程序盗账号3天从银行三步让你全面制伏网页恶意代教您如何全面清除计算的机病系统安全决定网络安全黑客入

　网友评论：（只显示最新5条。评论内容只代表网友观点，与本站立场无关！）


关于我们 - 版权声明 - 帮助(？) - 广告服务 - 联系我们 - 友情链接 - 用户注册 -	Powered by ICE RIVER - STUDIO

» CnXHacker.CoM