后台验证可By pass。
后台地址为http://www.xxx.com/index.php?igo=be,admin,login
以官网为例
账号:admin' or''='
密码:随意
进入后台
有PHPinfo、PHP探针功能可查看绝对路径,或者通过后台的多处爆错可得。
自定义上传类型和路径
SQL语句执行
事后发现,只有存在admin此账号可以绕过,不过大多网站都存在admin账号
版权与免责声明:
凡注明稿件来源的内容均为转载稿或由网友用户注册发布,本网转载出于传递更多信息的目的;如转载稿涉及版权问题,请作者联系我们,同时对于用户评论等信息,本网并不意味着赞同其观点或证实其内容的真实性;