对某音乐网站的一次安全检测

图10

5.进入管理后台

在图10中分别输入管理员名称和密码“1”，单击“登陆”，成功进入管理后台，如图11所示，在后台中主要有“首页/管理中心/退出”、“用户管理”、“添加信息”和“系统信息”四个主要管理模块。

图11

6.寻找上传点

在该网站系统中，新闻动态、友情链接等添加信息接口中，均存在文件上传模块，且未对文件进行过滤，如图12所示，可以上传任何类型的文件，在本次测试中就直接将aspxspy.aspx文件直接上传上去。

图12

7.寻找上传的Webshell地址

上面选择是通过添加友情链接将webshell文件上传上去，到网站找到友情链接网页，然后直接查看源代码，如图13所示，获取webshell的地址。

图13

8.执行Webshell

成功在网站中输入Webshell的地址：“http://www.xiaobang.com/ads/20081229233452.aspx”，输入管理密码，如图14所示，webshell可以正常运行，单击“Sysinfo”可以查看系统信息。