[原创文章] 拿XP网站程序

程序

出处：B.H.S.T( b; u) T- S1 }( C
作者：by:khjl1
' y6 \! g1 u0 C# G# o* T+ O
群里有位兄弟发了个站3 h3 L. Y3 R$ E1 b
说那站程序不错~想要个源码! A( j% Y4 W$ [* y& W8 p
http://www.sucsjz.cn/xp/
打开站点看下

6 ?: W2 h+ s% E$ C* f
确实蛮不错的~' \2 g$ r- u* l
随便看了下  没发现有什么可以利用的+ M. L) g1 x. S- w+ g6 Z
打开G.cn site:www.sucsjz.cn
找到了这个http://www.sucsjz.cn/qzone/

嘿嘿加了下admin 不存在
admin_login.asp6 T3 l7 u. d9 e. c; Q
admin admin$ L/ W" t6 \/ ]
进后台了
粗略看了下  没上传
有数据库压缩。
看到数据库地址~
访问之.: P' d4 s7 O; s( N1 k3 ?
1 g7 j4 Y2 [0 Z+ p
%>没闭合  汗...
于是找了下源码8 R* H7 u$ {( ^6 t8 w) L% J
搜索数据库名就找到了4 l# G( X" ~' T: M2 d
本地搭建了下访问数据库) S; N1 W  i! O0 U

用记事本打开了数据库7 u- D4 Y9 U  k& W" v
搜索<%

呵呵可以在表情的地址那里插入%>来闭合他~
本地试了下* Z6 F5 ?9 @/ n( c. v5 l0 q
再次访问数据库4 A1 o) K; M( d' q% A
还是出错& K4 ]% g: t0 F! ?! `. Y
' n8 n) f2 f3 [6 \& \1 }  }
%无效字节1 O7 z& t( H, }
搜索%
  f& m6 |8 _+ }8 _* _) e
看了下: w- t. B+ o0 p! {" M8 Z1 Y
发现%应该是在用户信息8 _1 _9 l0 d* B. I8 w- m$ c' F& B7 Y
所以把所有的用户信息都X了...1 Q/ g  h, C* u$ ]1 d! Y0 l: r
再次访问1 H9 p$ k5 J" K* E/ t$ o7 U
一片乱码  哈哈
; `& Z4 a* J9 |& }$ N
OK了
到网站那按本地那样闭合%>以及删掉%
访问之
插入一句话
连接' G- V. r' x' s5 k& p4 ~5 K
就这样拿下SHELL了
打包XP程序..' C6 |/ y3 A. m7 U- l& f  F0 i& u
闪人.1 g$ o; m# m) w, t+ s0 k6 p
- e: \% e! D: a8 \; l, X
下到本地一看6 K- V+ T% X) M  M, z# l1 D
发现那个XP程序本身就可以容易的拿下SHELL了
只是最开始没有想到...呵呵0 Q- Y" D$ S  P2 _
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数