[原创文章] 拿XP网站程序

程序

出处：B.H.S.T9 o( \" q. P. v1 U( J
作者：by:khjl1 ; Q) y8 R4 L+ q3 l

群里有位兄弟发了个站
说那站程序不错~想要个源码) r& b( y5 i6 `2 J% k& K
http://www.sucsjz.cn/xp/
打开站点看下# D5 C& ?( D, z& s* Y' x3 t/ N
( ?; c; R2 f  ~! ?* W, o

确实蛮不错的~
随便看了下  没发现有什么可以利用的
打开G.cn site:www.sucsjz.cn2 ]. p9 s3 ~# N! F, U0 Z) b) n
找到了这个http://www.sucsjz.cn/qzone/
/ v+ P" p1 s! ?! g! h
) _% s) z0 O8 J8 s1 T
嘿嘿加了下admin 不存在
admin_login.asp- ^4 ~3 b- d6 y  T5 V
admin admin
进后台了  i9 H! g7 z2 p' B
粗略看了下  没上传" T2 E7 X2 ?- J, n0 h
有数据库压缩。" N' x8 K+ V1 F1 u' g# U, P
看到数据库地址~
访问之.

%>没闭合  汗...) \8 s8 \0 X4 O& w* }& H8 [& f
于是找了下源码
搜索数据库名就找到了( H  t# u6 Y. b$ z: Y/ y4 M# _
本地搭建了下访问数据库
; F3 T: ?, `- l* S2 [2 p5 V0 \
# p; C8 U8 u. b" i$ G. G
用记事本打开了数据库/ G1 U9 `( _  d
搜索<%
2 `  V" u9 M: [% u1 {0 T0 D/ g/ w: [
呵呵可以在表情的地址那里插入%>来闭合他~8 Y6 _! Z& d; u  b
本地试了下
再次访问数据库
还是出错
5 y$ w) F9 }' A
%无效字节0 V2 t4 a/ J; `1 P" h
搜索%+ k3 h  j3 t" ^3 @0 J
6 [& Q# o* w) g0 J- n+ s, k6 C) B1 S
看了下& m! b- r8 K& p
发现%应该是在用户信息, @  G: W4 {1 p) }4 X( ?0 i- `
所以把所有的用户信息都X了...
再次访问
一片乱码  哈哈2 A3 j( a3 Q/ a8 {9 m6 I

OK了
到网站那按本地那样闭合%>以及删掉%- Z& \7 a7 j! E/ U& W/ [) e
访问之) W' d+ L9 ?& P9 L# m
插入一句话
连接$ O( n$ Q  l" r" L9 W
就这样拿下SHELL了
打包XP程序.." }. I6 Q) o( O
闪人.( Y+ m' r# k- m8 _% T, L/ e- q* R

下到本地一看  z$ z4 n/ ?# F. Z) Y1 N
发现那个XP程序本身就可以容易的拿下SHELL了
只是最开始没有想到...呵呵
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数