天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

全面利用本地Post方式获取WebSHELL

2008-2-18赛迪网佚名
一、后台登录连试'or'='or'的机会都没有,就会出现限制,如下的js

<SCRIPT language=JavaScript>
<!--
function CheckForm()
{
if (document.UserLogin.Name.value =="")
{
alert("请填写您的用户名!");
document.UserLogin.Name.focus();
return false;
}
var filter=/^\s*[.A-Za-z0-9_-]{5,15}\s*$/;
if (!filter.test(document.UserLogin.name.value)) {
alert("用户名填写不正确,请重新填写!可使用的字符为(A-Z a-z 0-9 _ - .)长度不小于5个字符,
不超过15个字符,注意不要使用空格。");
document.UserLogin.Name.focus();
document.UserLogin.Name.select();
return false;
}
if (document.UserLogin.Pwd.value =="")
{
alert("请填写您的密码!");
document.UserLogin.Pwd.focus();
return false;
}
var filter=/^\s*[.A-Za-z0-9_-]{5,15}\s*$/;
if (!filter.test(document.UserLogin.Pwd.value)) {
alert("密码填写不正确,请重新填写!可使用的字符为(A-Z a-z 0-9 _ - .)长度不小于5个字符,不
超过15个字符,注意不要使用空格。");
document.UserLogin.Pwd.focus();
document.UserLogin.Pwd.select();
return false;
}
loginForm.submit();
return true;
}
//-->
</SCRIPT>

  此时可把该登录页面源代码拷贝至本地去掉JS,再进行提交。

  二、上传图片时,弹出提示框,只能上传gif和jpg格式的文件。右键源代码看看,如果你是幸运的,又看见了一段JavaScript正好是限制上传文件名称的时候这就来戏了。

  同样本地保存页面,去掉JS,再提交。想传什么格式都行,大道通了。其实漏洞都只在于JavaScript的局限性。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:赛迪网 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行