[原创文章] 拿XP网站程序

程序

出处：B.H.S.T
作者：by:khjl1 0 u# d% J# q  n3 d: |5 j
1 g1 e9 e0 r  u( N8 L
群里有位兄弟发了个站
说那站程序不错~想要个源码, ?4 g3 _2 K6 V6 ^" V
http://www.sucsjz.cn/xp/
打开站点看下
- k) Y( H! v3 G! j% G2 k
/ I; N- G6 J5 x  Y/ @( J5 F
确实蛮不错的~1 r9 j, H$ J) E8 E( ?
随便看了下  没发现有什么可以利用的% m, B- f; |' B: o4 H$ g6 _
打开G.cn site:www.sucsjz.cn3 _' p& E! r; l& L7 U' g
找到了这个http://www.sucsjz.cn/qzone/+ j" _" J9 i# Y! y3 J
/ z  ]! P" b5 W$ O
4 Q2 c9 p3 M$ R: i( b  J
嘿嘿加了下admin 不存在 ; P  S5 X, z+ A1 I* v3 W
admin_login.asp
admin admin# i& l, J( m! m, k  x; ]" N
进后台了) |4 u$ y& q7 X7 V6 J4 T% A: v+ @
粗略看了下  没上传' {+ U. h2 P* ]- G: q0 ?
有数据库压缩。9 t, Q1 P/ b; Q5 g2 \& X( j
看到数据库地址~
访问之.
+ ~9 F! x* o, }- Q* o
%>没闭合  汗...
于是找了下源码
搜索数据库名就找到了( U2 U+ x$ k- w' J* u; u% @! Z5 d
本地搭建了下访问数据库0 [/ D! }# @% z9 h

8 N/ Q& s7 Z# o  `; ^
用记事本打开了数据库
搜索<%1 \' A6 S; L! r! M& D1 e

呵呵可以在表情的地址那里插入%>来闭合他~
本地试了下
再次访问数据库
还是出错

%无效字节
搜索%0 S! c# \* I4 y- f+ M
7 a& b9 y  H1 o" T& c; N5 ^  {( j
看了下
发现%应该是在用户信息/ g0 h. Y8 A) N4 D' L& O
所以把所有的用户信息都X了...
再次访问& D. H7 @# ?4 C, n
一片乱码  哈哈9 r* F4 ^( c/ a% `6 _

OK了 * v7 _' Y6 K3 z
到网站那按本地那样闭合%>以及删掉%0 i  f% b. b7 k5 a4 {. @( }' t
访问之) s, j" q0 `( U* n( f: M: Y
插入一句话
连接' x; w9 A  Q4 C4 h  H& ~
就这样拿下SHELL了( w5 O+ q6 K$ G% E5 K1 r/ W
打包XP程序..
闪人.
# B# F! p% u6 g5 A' f# Z  ^3 O
下到本地一看7 m6 I, b& ^; m4 f% [5 K+ x& J
发现那个XP程序本身就可以容易的拿下SHELL了3 m8 R1 [2 f( ^- U( N( s6 ~
只是最开始没有想到...呵呵
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数