[原创文章] 拿XP网站程序

程序

出处：B.H.S.T
作者：by:khjl1 ! ]& X& v/ R  X5 m" |6 H( L
$ Y1 Q% I- b0 p# N/ ]9 ]
群里有位兄弟发了个站
说那站程序不错~想要个源码. r2 G3 D/ V5 k* u* U; Q7 J/ R, q0 V
http://www.sucsjz.cn/xp/6 n: k; [8 o+ i( R1 t2 M- i
打开站点看下
+ n% `# |8 N5 v4 Q  A

确实蛮不错的~
随便看了下  没发现有什么可以利用的# b( L* @" M9 {% w- W
打开G.cn site:www.sucsjz.cn6 `8 N' ^$ V! J8 P% Y& y5 W
找到了这个http://www.sucsjz.cn/qzone/

嘿嘿加了下admin 不存在 , {/ T) ^; @1 o4 S# [8 B
admin_login.asp0 k+ X/ r  O( m, w( l" x
admin admin
进后台了
粗略看了下  没上传
有数据库压缩。
看到数据库地址~9 j6 ?8 S3 U+ ]
访问之.

%>没闭合  汗...9 p4 Y9 K# Y* c. ?
于是找了下源码2 T+ g! Q! B0 l$ g0 |3 p1 q) Z
搜索数据库名就找到了1 i& Y- r+ H. u# o
本地搭建了下访问数据库, K( l  e: p/ G0 A( k
' a8 ?0 n7 s% ^; A7 U( `

用记事本打开了数据库
搜索<%

呵呵可以在表情的地址那里插入%>来闭合他~9 m0 [# t. C- m( z1 {
本地试了下5 y! h; q2 _$ o9 h" C8 R
再次访问数据库. C+ P$ B* t6 @# v
还是出错
0 U! G8 V% L! w0 L- d7 ]
%无效字节# Y/ F6 f* x1 ~1 ~/ b5 T& n2 D8 c3 t% W
搜索%$ K& Y% o, }9 z* r

看了下
发现%应该是在用户信息
所以把所有的用户信息都X了...* H* C) r$ u, o0 N0 N6 V
再次访问
一片乱码  哈哈; c: Y; c6 K4 v" t

OK了
到网站那按本地那样闭合%>以及删掉%
访问之
插入一句话
连接: ~) a; m8 s7 J5 j+ y1 q4 O; L
就这样拿下SHELL了* k  B1 A7 R: O
打包XP程序..
闪人.
; F  G" n; s+ q, V0 r( y# M
下到本地一看
发现那个XP程序本身就可以容易的拿下SHELL了2 i; i2 I0 c! c3 o- d, E; ?( w  k
只是最开始没有想到...呵呵; y2 {5 w! I$ t- M4 P# X
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数