含有 后台 标签的文章

Ixwebhosting后台应用

date 2010年04月08日 | category 学习笔记

应群主邀请今天为大家来简单的讲一下ixwebhosting后台的管理使用。 首先登录ixwebhosting这里我都不讲了地球人都知道:),登录后台以后你会看到如下内容 这里可以看到左侧是常用工具的快捷菜单栏,右侧是一些IX赠送的搜索引擎推广的代金券的优惠码。 下面我来给大家讲一下关于虚拟主机的管理,点击左侧My ReadMore

Sablog-X 2.0 后台管理权限欺骗漏洞

date 2010年02月25日 | category 学习笔记

作者:Ryat 前不久80vul公布了sax2.0的一个漏洞,随后4ngel发布了补丁,不过权限验证部分的代码还是存在问题,下面就来简单说说这个漏洞:D [crayon-673ed51e18efe952191157/] 下面来看下这几个变量是怎么来的 [crayon-673ed51e18f07888190407/] 由上面的代码可以看到,如果我们知道session表中uid为1的数据的sax_hash和onlineip,通过流程[2][3]就可以查询出正确的管理员信息,再通过extract($_EVO)注册变量,就可以通过后台的验证,获得管理员权限了:) 那么我们如何知道正确的sax_hash和onlineip呢? [crayon-673ed51e18f0e128170346/] replacesession()函数为我们提供帮助,因为$sax_hash、$sax_uid、$onlineip这些变量是可以控制的,所以我们可以向session表中出入一条uid为1的数据:) 首 ReadMore