[原创文章] 拿XP网站程序

程序

出处：B.H.S.T  N# E, h9 H+ ?) M& P0 w
作者：by:khjl1
' g" j) I0 y7 U; F5 B" @* U7 {
群里有位兄弟发了个站
说那站程序不错~想要个源码
http://www.sucsjz.cn/xp/6 B8 h8 p) {& `1 ^
打开站点看下4 @* z! O9 Y* ^4 x2 o0 Y8 l0 ?: l1 g5 L
+ t; A1 G' V; X9 |* B/ R

确实蛮不错的~" {5 H6 Z# X9 p! |5 J: U
随便看了下  没发现有什么可以利用的
打开G.cn site:www.sucsjz.cn
找到了这个http://www.sucsjz.cn/qzone/
: \) [# F0 g% d$ B* ^" D+ a

嘿嘿加了下admin 不存在 # T, c) F( N1 F: [) @& B7 h5 a2 F! O( R
admin_login.asp" i7 g& z4 P2 d7 F
admin admin/ e( I# O% C/ w- O9 ~
进后台了* L8 {1 y$ ]! u' r
粗略看了下  没上传) W' |5 y7 p8 m4 v
有数据库压缩。" o8 a6 J4 g! i/ z, R# o, o
看到数据库地址~3 B/ t! l* k( [% q! r
访问之.
  f* C, k5 q" n# E
%>没闭合  汗...
于是找了下源码
搜索数据库名就找到了
本地搭建了下访问数据库# k. t! r0 b8 V" i
. i# p8 k0 y* D

用记事本打开了数据库
搜索<%( r/ G( r" A; S2 s) r/ y! F* d
4 _9 D: `. X. z3 F8 a) b- K
呵呵可以在表情的地址那里插入%>来闭合他~; `$ Z8 E7 C* j$ J
本地试了下
再次访问数据库: E* n% m7 H- t: t# D3 z
还是出错
, h1 V% T( y* [$ s
%无效字节; U9 z( [' o# H8 l% }. f, K
搜索%
3 ~* u! I, [' o5 Z
看了下$ P  g' c1 T3 v3 [: Y$ c
发现%应该是在用户信息
所以把所有的用户信息都X了...
再次访问
一片乱码  哈哈( o$ L  [4 A! g) [* i; ~$ }7 N% g3 `
4 v) O# A. F: o5 U  i" p
OK了
到网站那按本地那样闭合%>以及删掉%
访问之
插入一句话
连接
就这样拿下SHELL了0 w, ~7 v1 b) v9 X
打包XP程序..
闪人., w) C4 z) b; R- E2 R8 D1 E+ K  w
8 \7 ~3 P# y, h! _" r/ k% [
下到本地一看
发现那个XP程序本身就可以容易的拿下SHELL了
只是最开始没有想到...呵呵
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数