superkingliu

引用:
这里是引用第[1 楼]的xindong于2006-10-01 01:39发表的：
用session判断eWebEditor_User的值是不是空，如果是空就转向登陆界面，如果不为空则进入后台管理页面，这里只要是不为空就可以了，所以在虚拟机上运行<%Session("eWebEditor_User") = "11111111"%>
的文件就可以使eWebEditor_User的值不为空了，就可以直接进入后台了，这里的11111111也可以换成其它字符，没什么实际意义。

那么新建的文件放到哪？比如说有一个虚拟机上放了两个网站A和B，你拿到了A站的webshell，但是还是不能进入B站的网站目录，而B站里有一个ewebeditor的系统你无法获得密码进入，那么你可以在A站的网站目录里建一个这样的session欺骗的asp文件，并在你的本地浏览器上访问它，然后就可以直接进入B站的ewebeditor的管理页面了。

.......
错! SESSION不能跨站  你要欺骗的站是A,那么你只有在A上运行那个SESSION赋值的才能登陆后台TTFCT http://WWW.TTFCT.COM

帖子279 精华4 积分4349 阅读权限100 性别男 在线时间111 小时 注册时间2006-2-13 最后登录2008-7-20 查看详细资料TOP

流转
风中...流转

晶莹剔透§烈日灼然