[原创文章] 拿XP网站程序

程序

出处：B.H.S.T5 W0 L, p  c; N" U. W1 [
作者：by:khjl1 . r/ z/ @7 I. |4 T' l( m/ t2 r

群里有位兄弟发了个站% D% b" a* u; T- ~  a. S# K: u$ P8 z
说那站程序不错~想要个源码
http://www.sucsjz.cn/xp/& w7 n' Y( c, w
打开站点看下: B. c8 l. O+ k6 f
$ K, R1 P7 s/ j, q0 q" S
- R- j% E: N3 h# C) O% r
确实蛮不错的~# N" l3 [+ n$ x  u3 x
随便看了下  没发现有什么可以利用的+ T9 e( a1 L6 M. y' m6 G/ ~
打开G.cn site:www.sucsjz.cn- Z# Y; g8 _$ o% v8 |
找到了这个http://www.sucsjz.cn/qzone/

嘿嘿加了下admin 不存在 6 g; G; d3 c7 A& k4 G
admin_login.asp
admin admin0 S& [% q+ b% K$ p$ ?& c
进后台了2 E: g" _6 l. q% L9 p
粗略看了下  没上传
有数据库压缩。
看到数据库地址~
访问之.

%>没闭合  汗...
于是找了下源码
搜索数据库名就找到了
本地搭建了下访问数据库
4 A6 k% D. T8 F: H$ o  O1 O7 z9 v
- _. }1 y! X# K! E* |
用记事本打开了数据库  K9 a& C: H$ s0 Q
搜索<%

呵呵可以在表情的地址那里插入%>来闭合他~9 I# c( S, G! F2 F7 D) D1 o" T. G
本地试了下
再次访问数据库
还是出错

%无效字节
搜索%

看了下) V5 s! E# F/ ~0 W
发现%应该是在用户信息
所以把所有的用户信息都X了...: o1 q+ O* V9 w( Q8 ~3 c7 K
再次访问/ M' v  m5 o7 ?2 x$ i) i
一片乱码  哈哈

OK了   i* k) [1 V, r
到网站那按本地那样闭合%>以及删掉%" V: f1 b* q5 ~; Y
访问之( X  l2 v7 M6 Z8 J$ M. p: H
插入一句话' x' o- U2 f+ P5 X& a; l8 ~. u7 p9 n
连接2 R( b4 s% A" k
就这样拿下SHELL了8 S0 K+ j& _' p8 f+ _6 ^% A
打包XP程序..  r8 O* |  x5 F  L6 W  ~  U3 p
闪人.

下到本地一看
发现那个XP程序本身就可以容易的拿下SHELL了
只是最开始没有想到...呵呵+ v- g1 L/ u! g7 J8 Q! ^
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数