[原创文章] 拿XP网站程序

程序

出处：B.H.S.T, W  u: @; z# k  B6 y
作者：by:khjl1 7 ]4 T! C" c" e& I# o* t% f

群里有位兄弟发了个站2 ~0 l6 Q- ^! n
说那站程序不错~想要个源码
http://www.sucsjz.cn/xp/
打开站点看下( ?, }* s* @; b( _3 h  `3 a

确实蛮不错的~
随便看了下  没发现有什么可以利用的
打开G.cn site:www.sucsjz.cn# |- j% {/ n0 {9 w! h( d. i, ~
找到了这个http://www.sucsjz.cn/qzone/

4 _# }' K" [: P( U
嘿嘿加了下admin 不存在
admin_login.asp
admin admin
进后台了. K1 n5 L3 [, b! M# K& o
粗略看了下  没上传# X: u) q+ b: J; k* L# C& b
有数据库压缩。
看到数据库地址~
访问之.
5 x$ j0 [, i% l6 l
%>没闭合  汗...
于是找了下源码
搜索数据库名就找到了
本地搭建了下访问数据库
9 q* d) w7 ?0 V: {! O- ^+ k. {
1 @0 N, D: d% _5 Z
用记事本打开了数据库, D; C( Y  B! N6 n6 o( w
搜索<%

呵呵可以在表情的地址那里插入%>来闭合他~) S$ p; U7 w( h9 B: V
本地试了下
再次访问数据库+ d* X1 Z9 @7 h
还是出错

%无效字节! f( W# u. {2 @" M
搜索%

看了下
发现%应该是在用户信息
所以把所有的用户信息都X了...
再次访问. N. X! ~$ C; u7 T$ l! X
一片乱码  哈哈
: o0 j5 `/ M' H2 x5 ^/ E7 _5 u
OK了 % Y  f* P8 `6 `2 r8 d4 e
到网站那按本地那样闭合%>以及删掉%
访问之3 E0 j& q1 `6 u& u; b9 N0 o( j7 q4 b
插入一句话
连接
就这样拿下SHELL了
打包XP程序..+ N3 l1 o! u  x
闪人./ N8 B4 l3 D. W  H7 y, o

下到本地一看- p& h) R. f0 `+ _
发现那个XP程序本身就可以容易的拿下SHELL了+ g9 [7 ~( P3 O/ w
只是最开始没有想到...呵呵+ ^$ G8 G7 I+ r+ f. a* d
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数