智能车制作
标题:
关于第五届的官网一个不大不小的漏洞
[打印本页]
作者:
lim1t
时间:
2010-1-10 03:11
标题:
关于第五届的官网一个不大不小的漏洞
http://www.smartcar.au.tsinghua.edu.cn/web/index.jsp
这是官网的网址
http://www.smartcar.au.tsinghua.edu.cn/web/downloadDoc.jsp?path=/upload/doc/17.pdf
这是下载文档的链接
如果改成
http://www.smartcar.au.tsinghua.edu.cn/web/downloadDoc.jsp?path=/
web/downloadDoc.jsp
呢?呵呵,源码就拿到了。
理论上是可以下载虚拟目录所在盘符内的所有已知文件名的文件,有点鸡肋,不过有时候就很有用。
把所有有用的信息,有机的结合在一起才行嘛。
还好不是tomcat,不然可以直接下载到tomcat-users.xml。
虽然如此,但是还是可以尝试把网站的.class下载回来反编译下,拿到关键的sql信息就行了,嘿。
后台么
http://www.smartcar.au.tsinghua.edu.cn/admin
页面得猜解下,如果能进入后台,拿到shell的机会不小。
jsp一般都是以system权限启动的嘛,所以,嘿嘿。
另外,我记得好像Discuz元旦刚出了个0day,论坛管理员赶紧看看中没中木马,把漏洞补上。
我管理的一个论坛就刚着了,才修补好。
作者:
法拉利
时间:
2010-1-10 09:20
厉害。。。
作者:
50833713
时间:
2010-1-10 10:12
提示:
作者被禁止或删除 内容自动屏蔽
作者:
feixinyue
时间:
2010-1-10 10:51
很牛啊。。。。。
作者:
DEMOK
时间:
2010-1-10 13:29
高手
作者:
shangshu
时间:
2010-1-10 13:41
作者:
chenrunshe_007
时间:
2010-1-11 00:33
回复
1#
lim1t
应该让你去管理官网
作者:
lim1t
时间:
2010-1-11 01:16
回复
7#
chenrunshe_007
不才,不敢在真正的大神前乱跳。。。
作者:
a403154812
时间:
2010-1-11 21:03
欣赏
作者:
librae8226
时间:
2010-1-13 23:05
作者:
破风
时间:
2010-1-14 19:15
呵呵~路过!!
作者:
棉花糖
时间:
2010-1-14 19:35
牛人啊!
作者:
黄正
时间:
2010-1-15 16:55
欣赏。。
作者:
cjslaser2001
时间:
2010-1-15 18:46
niu
作者:
中书舍人
时间:
2010-1-15 22:05
大侠级
作者:
luoguoying
时间:
2010-1-16 20:51
牛人,佩服!!
作者:
nigel1946
时间:
2010-3-28 00:54
作者:
iczibm
时间:
2010-3-28 14:35
高手
作者:
libinchenglbc
时间:
2010-4-3 13:18
基本没看懂..
作者:
武当奇人
时间:
2010-5-4 11:34
欢迎光临 智能车制作 (http://dns.znczz.com/)
Powered by Discuz! X3.2
