[原创文章] 拿XP网站程序

程序

出处：B.H.S.T' O) E; F* P: q5 U, K* T' G: M- A! l
作者：by:khjl1

群里有位兄弟发了个站
说那站程序不错~想要个源码
http://www.sucsjz.cn/xp/1 w5 {6 v, _% n4 `5 p
打开站点看下3 y. c4 X0 x* p
) E3 X& C9 e" M  i+ w! q' ~

确实蛮不错的~9 w. e1 {# g: H- ]6 f: ~3 P! h
随便看了下  没发现有什么可以利用的
打开G.cn site:www.sucsjz.cn
找到了这个http://www.sucsjz.cn/qzone/7 m$ G- h5 S/ M4 _* p; R. J9 m
9 ^- m& U. ]3 i. Y9 J4 p4 R

嘿嘿加了下admin 不存在
admin_login.asp
admin admin
进后台了* N0 v- s. L4 W
粗略看了下  没上传& D3 f# C. g- `! q4 K2 o* R
有数据库压缩。
看到数据库地址~4 n8 T; X5 G4 F
访问之.

%>没闭合  汗...; C- @3 g$ C* U8 l/ S8 W3 A
于是找了下源码
搜索数据库名就找到了
本地搭建了下访问数据库

用记事本打开了数据库2 t" e, p) W7 I: u
搜索<%2 B! L$ B- a3 f" d+ k
$ ^8 D% U4 v9 L: J* d
呵呵可以在表情的地址那里插入%>来闭合他~( T& d9 t8 }1 ?& W
本地试了下
再次访问数据库1 E% Q& w6 [0 |# O( B$ ^2 N" a
还是出错
8 F4 a( I- U" Q% d
%无效字节
搜索%

看了下0 b* n8 ^/ {! C: p9 K! u2 N) Y
发现%应该是在用户信息
所以把所有的用户信息都X了...
再次访问2 F. s7 _5 D) e, M% \- i
一片乱码  哈哈- u! {7 q* r  r4 u

OK了 " g+ V3 _2 O6 @* U( \4 t
到网站那按本地那样闭合%>以及删掉%( V( k! j) @. a# |7 c! s. f
访问之
插入一句话* i, J3 `# _" t
连接. C3 D+ p9 w5 x) x7 x# F) U
就这样拿下SHELL了
打包XP程序..; y5 K- S7 U! c. a% C3 u- W- K% \
闪人.# b9 a5 s, \+ K) f; k

下到本地一看. D: X; }0 b1 n  ]
发现那个XP程序本身就可以容易的拿下SHELL了2 G" R1 [+ J9 \* C
只是最开始没有想到...呵呵0 [7 [; ^2 @7 ~5 c
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数