1、找到管理员后台
http://www.xihangzh.com/manager/Default.asp
2、尝试自动注入测试,使用--data参数提交post数据
结果如下,username、password(测试过程忽略了对password参数的测试)可注入,可获取到数据库信息、系统信息、IIS信息等等。
3、进一步获取数据库、表信息等等
获取到db和user信息
获取当前数据库中的表信息:
4、dump表内容,
获取到用户名和账号信息,密码明文保存,无须破解。同时看看userright试试admin权限账号登陆后台http://www.xihangzh.com/manager/Default.asp
5、看以下几个表的名字
有些已被入侵的怀疑,尤其是这个pangolin明显是至少已经有人测试过的痕迹,选一个表看一下“xhnews.jiaozhu ”