[原创文章] 拿XP网站程序 程序

khjl1

出处：B.H.S.T
1 J. P6 s4 Y4 S2 [6 x9 c作者：by:khjl1    8 _% h, n. C. e

- w0 ^6 R5 @" S4 U5 |" X群里有位兄弟发了个站
6 N4 |+ [4 g1 P- [4 N说那站程序不错~想要个源码
0 e, ~4 t' V' ?' X8 l( I' ]http://www.sucsjz.cn/xp/7 M/ \- k" _. L" `6 s
打开站点看下
, T+ G, n  }  A( p( |! x
* e9 [" |6 s0 t7 {& @
6 ~' F& }0 ?1 B( A" V确实蛮不错的~
$ ?0 B9 E& u$ X7 i& Y8 M随便看了下  没发现有什么可以利用的+ g0 v: k0 B! s+ ~; _
打开G.cn   site:www.sucsjz.cn& {/ Y. `6 O+ U; R4 a( ~: r
找到了这个http://www.sucsjz.cn/qzone/
1 o+ ]7 |0 B# @, }; Y% R' T* k
, ^# g4 j9 K0 A) \8 [
+ _: o6 o6 j( n3 g嘿嘿 加了下admin 不存在
/ L2 e! Y3 J+ v9 I$ Qadmin_login.asp  M5 p/ k# ~5 x/ b
admin admin
9 o$ [( p$ ^5 C进后台了6 H, _; x" C" b
粗略看了下  没上传; V- p, C! Y: M% f
有数据库压缩。
5 g7 U9 b5 u) d, N# j看到数据库地址~
( M& V5 V" z( o+ o" @. `访问之.
+ }! Q5 r6 X' ]! H3 e6 ~+ }: D; a: T& r% u( `
%>没闭合  汗...
& p' g/ U% q* V5 ]于是找了下源码+ {" M: G+ e0 B: ~( h9 y0 t
搜索数据库名就找到了
' ^  o5 |' Z7 Y本地搭建了下 访问数据库; ^) s5 k/ ~; K" i: R
, z0 ]& |/ O. F2 p1 j/ [* H

  P+ T: K8 D0 q3 k  q: W2 K用记事本打开了数据库3 x# A1 t! P( O. U# p  o
搜索<%
" ^, `( f# F; }& l" a5 n, q4 w+ q; T/ c4 o2 u! P
呵呵   可以在表情的地址那里插入%>来闭合他~
- t0 u3 v/ G6 ?" X2 o9 L本地试了下- ~. \1 N) L7 Q$ r9 E
再次访问数据库5 V% T" O' N4 Q: d1 V# C$ Y) v- \
还是出错
- z) K; t% S& G/ V9 S: @1 f% ?6 ^9 C
%无效字节3 C# I. h  w( S9 E
搜索%7 p4 ~3 l% y4 P+ a6 o# `

( ~6 H  O( z3 e1 h- }5 N看了下
  N7 z4 }2 `' m" n5 m# j& d! T  k发现%应该是在用户信息
9 U$ L; G' d; G/ Q所以把所有的用户信息都X了...2 ]$ q/ H# M6 [0 N0 c
再次访问
" c8 {. k4 U3 z/ q+ ^, Q一片乱码  哈哈
# I( M/ O8 h% E* J, Z+ e
# R! n6 z& W8 ~) e2 s, F& VOK了 / a  I5 [- \: W/ f/ f+ z
到网站那按本地那样闭合%>以及删掉%
- H. O' A3 ]5 Y3 X5 X$ s# m8 U2 d访问之
4 @+ c3 L4 M1 y9 ^6 l; g7 W插入一句话$ O" ]' j! K9 `
连接1 L7 L! o6 a. {! X
就这样拿下SHELL了
0 K0 p% z- }& ~) X6 W5 v打包XP程序..( |; r8 \; z* l0 c4 n. I4 K
闪人.
, e7 h& n' r7 K+ W) t( a, n+ L; }
/ s$ c' m- e, P下到本地一看
) k9 Z9 B8 G7 c" Y9 i6 q发现那个XP程序本身就可以容易的拿下SHELL了7 T) R4 j, w. b) C
只是最开始没有想到...呵呵: p) t# e/ `6 K* e, t
太大了  传不上 算了~