由于程序写的匆忙,在程序上默认的演示站点,将 http 写成了hhttp,若需测试请改正确。
很多朋友都用过那个OR=OR的万能密码吧,据研究发现那些能用OR=OR进的站点大多是同一个系统,虽然被多个程序员改了又改,但其核心不变,因此根据此情况做出了些通用工具,由于OR=OR漏洞已经在N年前流行过了,所以现在还存在的这些大多后台备份功能已经删除了。导致我人根本无法再利用此方法拿到SHELL了,而作为我们,拿SHELL的目的又大多是为了挂马,难道挂马就一定要拿到SHELL吗?得案是NO,
根据测试,此类程序后台友情链接栏存在XSS,利用此我们可以进行挂马,而将会在前台显示。因此挂马成功。。。
此程序完全自动化,除非后台登陆要输入验证码的话,你需要手工输入验证码,其它全部自动化,只需从第一步按到第四步即可!
BY lszm, QQ:9155658 |
OR=OR系列漏洞深度利用工具(挂马篇)
