为了邀请码作死检测了一下ZF站,求不查水表。
http://www.zzczj.gov.cn/ShowArticle.aspx?Id=110104000000000
扔到SQLMAP里面——
剩下不说了
然后就是开着扫描器找后台,然后。。。发现这个站最近已经被日过了。。。
比如:http://www.zzczj.gov.cn/z.asp
比如:http://www.zzczj.gov.cn/z.aspx
比如:http://www.zzczj.gov.cn/index.html
太多shell了。。
我就不破坏案发现场了:-)啥文件都没上传
在基(大)友(神)的帮助下成功猜到shell的密码,进去看了一眼。
然后我就呵呵了。车辆管理系统什么的你懂,不过我连碰都没碰。
图片见下面(漏洞证明那里)。
不过目测是用的asp马有后门,看shell日期估计有好几拨人在日。哎,何苦呢。