为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 IT技术 安全攻防 查看内容

OBLOG函数adodb_loadfile()暴库分析[终结]

2005-1-19 07:44| 投稿: security

摘要: 作者:永不放弃 今天安静兄告诉我*LOG被暴库了,(他说是THEONE发现,在这谢谢他)暴库地址是http://www.***.com/user_help.asp?file=conn.ASP 我倒~...
作者:永不放弃 今天安静兄告诉我*LOG被暴库了,(他说是THEONE发现,在这谢谢他)暴库地址是http://www.***.com/user_help.asp?file=conn.ASP 我倒~~~~打开user_help.asp,看一下相关代码吧。 不仔细看,也没什么。仔细一看,函数adodb_loadfile()没有对asp进行过滤。导致adodb_loadfile("conn.asp")这样也可以。最终导致?file=conn.ASP 这样了。查看一下暴库页面的源代码,conn.asp文件看的一清二楚,数据库阿,数据库~~~~~~ 问题找到了,补一下吧,其实很简单,对函数adodb_loadfile()处理一下是最完美的。不过了,小弟我(永不放弃)有个简单的方法。将if fname="" then改成if fname="" or right(fname,3)<>"htm" then就OK啦。道理很简单,只有htm文件才能被函数adodb_loadfile()调用。OVER ================================================= 还有help.asp这个文件。同理 估计程序还有其他文件里还有调用函数adodb_loadfile()的,干脆修改adodb_loadfile()这个函数吧。打开inc/function.asp找到:Function ADODB_LoadFile(ByVal File)...End Function修改为:Function ADODB_LoadFile(ByVal File)If File="htm" then...End IfEnd Function这样的道理,就不用我这个小弟解释了吧。这样一改,就算还有文件调用adodb_loadfile()函数的话,都没有问题了。user_help.asp和help.asp都用改了。推荐这种方法  

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部