[原创文章] 拿XP网站程序

程序

出处：B.H.S.T
作者：by:khjl1

群里有位兄弟发了个站
说那站程序不错~想要个源码; p& P9 p8 G) ]; k9 o! u
http://www.sucsjz.cn/xp/
打开站点看下% A0 \7 }" x2 t' `, B# @! F

/ _8 [' k, Q6 p7 ]4 h$ F
确实蛮不错的~7 U- ^, z" q, X% p+ _
随便看了下  没发现有什么可以利用的+ l  z# B3 I# r, |& B
打开G.cn site:www.sucsjz.cn3 w& W/ B! n+ ?4 G& P
找到了这个http://www.sucsjz.cn/qzone/" I9 J: Y/ i1 H! `
2 m* U0 ?3 ?0 ~* L
6 s1 T, c: d5 A6 V+ V/ x  T2 f
嘿嘿加了下admin 不存在 5 }- F/ d% v) Y: K
admin_login.asp
admin admin( U# d3 [. A& @6 z
进后台了
粗略看了下  没上传
有数据库压缩。
看到数据库地址~
访问之./ _( q) X3 X$ X) v. W% ~! P
0 @+ u& S7 J3 R  G( x! \$ k) c, M
%>没闭合  汗...$ I) j7 Q( Q9 x' Y
于是找了下源码3 y3 n/ Z2 d; Y% Y+ K5 y
搜索数据库名就找到了  j7 W) c% O, Z: i) b
本地搭建了下访问数据库( _! V: i  {# }# n% h$ T
. o5 ]  \8 G3 v8 q8 {% |, E

用记事本打开了数据库( Y, @0 K4 P% R3 U( R& x
搜索<%
) ]3 S" [/ L0 }% |* [3 n
呵呵可以在表情的地址那里插入%>来闭合他~0 P* H. A/ h# H- T+ f  g
本地试了下8 A; u  D- n( H; a1 N
再次访问数据库
还是出错3 q  n1 j' W+ K6 f  ~6 S

%无效字节4 U) p5 ~2 [. h( t/ z
搜索%( I# J4 U3 E% L5 N4 R0 \+ L

看了下% i: T9 z/ |9 I0 c; P9 q) c& ]
发现%应该是在用户信息
所以把所有的用户信息都X了...
再次访问
一片乱码  哈哈7 D: C  s1 m# R6 P
. |: h# H1 i& k$ z0 ~4 Z
OK了 7 O# g8 k% B3 |5 m7 j8 K" z
到网站那按本地那样闭合%>以及删掉%* h, x. O' G* U) }  ~" ?0 c
访问之
插入一句话
连接
就这样拿下SHELL了0 I3 l7 ]- |* e/ w/ r4 v# G
打包XP程序.., X0 x  O4 ?. n9 a" R8 v; Y
闪人.& A- a8 P+ \0 C$ n: g7 E/ W* S4 [

下到本地一看
发现那个XP程序本身就可以容易的拿下SHELL了
只是最开始没有想到...呵呵0 z+ K; X0 ^2 |9 _/ {
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数