[原创文章] 拿XP网站程序

程序

出处：B.H.S.T
作者：by:khjl1
4 C% a! ]6 N. @3 ~: m
群里有位兄弟发了个站
说那站程序不错~想要个源码8 T; R3 K* ~+ x& I7 a' j5 J0 V
http://www.sucsjz.cn/xp/* P( B5 @  z, O$ C6 g! h
打开站点看下  _% J! M' N# o* s+ X3 B

8 p( k6 m2 [, g+ `
确实蛮不错的~
随便看了下  没发现有什么可以利用的8 z3 M; O6 L" S) a# m! x9 w8 X& d: q
打开G.cn site:www.sucsjz.cn
找到了这个http://www.sucsjz.cn/qzone/2 W0 W, z& H. X* ^/ j) T6 ^  T
- d) c, N/ j, S# {# N

嘿嘿加了下admin 不存在
admin_login.asp
admin admin
进后台了; v5 s' D: Q; H, f  g! Q
粗略看了下  没上传
有数据库压缩。( j2 \4 v" g7 j, Q4 p* b
看到数据库地址~& L) G$ E5 g# D. T
访问之.
4 S. ^: u. A7 N
%>没闭合  汗...
于是找了下源码* d$ [+ P2 }' o" G" r7 N" @3 X0 _; Y
搜索数据库名就找到了' F( O0 n2 O7 ^7 T( l7 _. h# [
本地搭建了下访问数据库
5 C# v3 i  {3 P% R+ ^( ]

用记事本打开了数据库( t% x0 \& C) x3 e% ~% w7 Q4 M
搜索<%; x8 Z' A9 Y8 v, B( r/ W

呵呵可以在表情的地址那里插入%>来闭合他~8 O8 ~7 h* ?3 I' N$ r
本地试了下
再次访问数据库
还是出错- W1 Z6 ~4 |6 r  O0 ~9 Y0 H1 X" V
7 o8 X! O9 C4 s- [5 k
%无效字节
搜索%
* \$ e$ b) D  Z2 N
看了下
发现%应该是在用户信息
所以把所有的用户信息都X了...
再次访问* Q- d2 t# z9 h+ j" A
一片乱码  哈哈1 {# z& e  T' f" u1 B7 r& Q8 J+ K

OK了
到网站那按本地那样闭合%>以及删掉%
访问之
插入一句话* \% X$ E* N4 |" Z+ j: s5 `
连接
就这样拿下SHELL了# N+ }2 ?5 M6 S( u# k# M- v
打包XP程序..
闪人.3 L: P4 r+ S- B/ M' I* C. ?8 U3 E; T
& s1 R8 q! H) P. \0 v3 r
下到本地一看' F  k- `; e1 M0 p
发现那个XP程序本身就可以容易的拿下SHELL了+ b& k0 I/ g1 ^; v4 ^3 k
只是最开始没有想到...呵呵
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数