51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 2802|回复: 0
打印 上一主题 下一主题

偶见老Y文章官方公告,2.4版用户遭殃

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2009-6-9 10:48:10 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
偶见老Y文章官方公告,2.4版用户遭殃
首先说明一下,老Y文章管理系统在中国站长站上下载位列月下载第二,下载人数已经达到14937,昨天偶到官方看了看,一条醒目的公告映入我眼帘,
=========================================================
2.4用户请删除编辑器管理后台目录
时间:2009-6-7 10:55:40 点击:453
默认编辑器是有一个后台管理的,因已经集成到程序后台管理,所以默认的后台可能造成一些安全问题,请删除Editor/Admin目录
=============================================================================
老Y文章管理系统默认用的是ewebeditor 5.5,此前的更新中,也许是老Y头晕了,竟然把编辑器的后台集成到程序后台,而许多站长并不会去改编辑器的默认用户名和密码
所以就造成了安全问题
大家都知道ewebeditor后台拿shell很简单,所以使用老Y系统的人肯定已经遭遇了一场腥风血雨。

那我们到网络上看看如何:
打开我们的google,键入:Powered by laoy8! V2.4
可以搜到一些使用老Y系统的
选定目标:http://www.sky306.cn/
我们在网址后面加上editor/admin
ewebeditor后台就出现在我们面前了,输入默认用户名/密码:admin/admin【不要试了,我改了,呵呵】
然后就是改上传类型,上传shell就行了。
注:我进后台后,发现已经有别人上传的马了,我给删了,并且把默认密码改了,至少不至于被许多人拿着玩,呵呵。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-23 06:27 , Processed in 0.070190 second(s), 28 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表