[原创文章] 拿XP网站程序

程序

出处：B.H.S.T$ b$ E2 e1 e' T( W# m" _9 m6 F* h, e
作者：by:khjl1 / P' I. B3 ]: @9 h. v

群里有位兄弟发了个站
说那站程序不错~想要个源码
http://www.sucsjz.cn/xp/9 a% l  {, g8 n: o: Y/ Y$ ~, w  M) F4 F
打开站点看下

确实蛮不错的~
随便看了下  没发现有什么可以利用的) w  ]2 e  p; v7 _) p+ A
打开G.cn site:www.sucsjz.cn) v7 D) ?, [/ h8 M( K5 c, o6 x
找到了这个http://www.sucsjz.cn/qzone/1 q9 m7 {  N0 q/ G" f1 {3 ]
/ E! ?1 F- ~6 q2 w

嘿嘿加了下admin 不存在
admin_login.asp$ m# V  l& F4 B- |% E
admin admin5 Z. H, E2 r/ m& e5 V  H
进后台了
粗略看了下  没上传( q6 ^1 ]5 ~6 w
有数据库压缩。
看到数据库地址~, y! ?- A( Z( C% g" C; j9 ~
访问之.

%>没闭合  汗...
于是找了下源码
搜索数据库名就找到了
本地搭建了下访问数据库

; Z8 }5 h8 K$ K2 V9 K+ P0 J
用记事本打开了数据库( a9 P3 `$ e! r' E  [5 M7 s; C
搜索<%8 h$ t% ]+ Y" G3 v  r- h; y
* c/ P. H: K, x' A0 H
呵呵可以在表情的地址那里插入%>来闭合他~: T5 l* X4 q% Z. E9 C6 I  i
本地试了下" b" f) G6 s  O9 {2 P: o
再次访问数据库
还是出错% C! U5 O& R* I, |/ n: Z
2 i% a6 l+ p5 m& @+ T
%无效字节! W. e5 b: `1 O; _- v1 I4 \* ~
搜索%

看了下
发现%应该是在用户信息, U( S/ V' y4 Y) ]
所以把所有的用户信息都X了...3 i8 H& d- t8 p* I: C4 W0 a! q# @
再次访问' N, d( n  k- |9 y) l1 D
一片乱码  哈哈7 S2 u. `- W8 i
# P& v; [5 Q0 J3 ?& A
OK了 , {, U1 j9 K. b9 q5 |
到网站那按本地那样闭合%>以及删掉%0 P' O- y$ K7 _: N( D
访问之4 t9 T$ h! [# x. J
插入一句话* S1 Y, \, m' K. m6 z9 }) n  Y+ k8 Q3 F
连接/ J7 m( g7 I7 @- I/ m3 t4 k
就这样拿下SHELL了1 x- `+ A9 o# z" k4 f! H6 B
打包XP程序..7 Y. [- }, N4 m
闪人.
- J1 O. S; {# Q: i
下到本地一看( ]& v) U& P+ h8 w0 K
发现那个XP程序本身就可以容易的拿下SHELL了
只是最开始没有想到...呵呵
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数