浏览网页的时候刚好弹出一个六合彩的网站,初步看了下后点一个登陆连接如图1
首先存在的漏洞是暴据这里需要设置下,显示友好HTTP信息”前面的钩去掉,如图2
然后在会员编号和会员密码随便输入后点确定,如图3
http://www.xxx.com/hyzq/chkuserlogin.asp
把第二个/改成%5C,
变成http://www.xxx.com/hyzq%cchkuserlogin.asp
IE在次访问,成功暴库,如图4
然后用讯雷下载,得到数据库。图5
成功获得登陆的会员编号和密码,图6
