1. 厂商:科创CMS ,官网:www.chinacreator.com
由于有别人提交过了此厂商的任意文件上传,这里摘取其二个关键字,跟提供一个关键字
2.该内容管理系统多用于湖南省,在登陆处用户名存在注入,默认登录地址为*/login.jsp (案例可从官网客户以及谷歌关键字获取)
3.枚举一些影响案例:
登录界面均为如下样式:
以汝城县人民政府为例:
http://www.rc.gov.cn/login.jsp
POST:flag=yes&macaddr_=&machineName_=&machineIp_=&userName=admin&password=admin&subsystem_id=cms
userName参数存在注入
当前数据库中的表:
有的虽然有验证码,但是手工注入也是没问题的