[原创文章] 拿XP网站程序

程序

出处：B.H.S.T
作者：by:khjl1 & i3 w# _2 j$ T$ ]  Y. p4 ~
3 E) M" h# H# J
群里有位兄弟发了个站* `- H" T) m1 x" j
说那站程序不错~想要个源码+ l; d% Q' L$ q/ D  T7 G4 f9 E
http://www.sucsjz.cn/xp/
打开站点看下
% _( a! Z' ]/ ~* u, I# `

确实蛮不错的~
随便看了下  没发现有什么可以利用的
打开G.cn site:www.sucsjz.cn
找到了这个http://www.sucsjz.cn/qzone/
' m# ^* o4 k7 q6 k: B2 M

嘿嘿加了下admin 不存在 ; |+ P  e! |: u
admin_login.asp& m; Q" `6 Y9 a% x9 a' U
admin admin# \( W1 s( T, m7 N  \! ?& Z  u
进后台了+ {; l6 v) `' X' n8 C5 q+ k( _
粗略看了下  没上传3 z) l7 r* V. ?
有数据库压缩。
看到数据库地址~
访问之.( B+ ~$ o( U/ L- m0 I% {
6 O& g' s  Q  g3 n/ Y0 c
%>没闭合  汗...
于是找了下源码
搜索数据库名就找到了
本地搭建了下访问数据库
, W  r! @7 A0 S7 C. X6 D

用记事本打开了数据库2 H2 Z, I) x2 `) t; |; S
搜索<%0 e( j' O# i% {% r/ t& [( S/ b
6 Z* U; s8 e7 Y8 W: t
呵呵可以在表情的地址那里插入%>来闭合他~: N$ H: b1 r' t7 v+ r) {# V. k
本地试了下" _/ e5 L) z; i/ U- R9 k! _* V5 d
再次访问数据库
还是出错
0 r  c- M  v: u) y" J. Q
%无效字节
搜索%

看了下8 ], ^" h; v6 d/ k. _
发现%应该是在用户信息
所以把所有的用户信息都X了...- A; S; Y/ L; \7 N! b' c
再次访问
一片乱码  哈哈

OK了
到网站那按本地那样闭合%>以及删掉%
访问之
插入一句话
连接* n3 Q/ r  z: u/ E2 X% m' s
就这样拿下SHELL了& `8 V9 \" W6 H( \2 y+ Z, J
打包XP程序..
闪人.

下到本地一看
发现那个XP程序本身就可以容易的拿下SHELL了# J$ p0 Z4 B( ~# V% e2 F
只是最开始没有想到...呵呵' ?) y0 Y# f- |1 E3 n
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数