[原创文章] 拿XP网站程序

程序

出处：B.H.S.T
作者：by:khjl1 ' P2 D3 U' D/ j$ m0 {5 |; `. W' f
& ?! ~9 `4 T/ }6 t- A
群里有位兄弟发了个站
说那站程序不错~想要个源码. f/ Z) H9 E  |! Y4 \
http://www.sucsjz.cn/xp/, j8 G7 _# h4 n- u
打开站点看下! I6 V, J' M9 K3 v. Z6 l9 i" d& U

+ a$ H' V8 m4 `0 {4 ?0 J
确实蛮不错的~
随便看了下  没发现有什么可以利用的
打开G.cn site:www.sucsjz.cn
找到了这个http://www.sucsjz.cn/qzone/
4 j0 r, P! h0 f6 S/ i& K9 Y$ A# c
: n! N9 m& i7 U' p
嘿嘿加了下admin 不存在
admin_login.asp
admin admin) l- K  n/ [6 R0 s3 c
进后台了
粗略看了下  没上传
有数据库压缩。9 s; I  f0 m' ?& G$ ^
看到数据库地址~
访问之.
3 p* w3 Q" ~2 E. v7 L
%>没闭合  汗...
于是找了下源码, ^" S2 z0 P5 P: f8 L/ @
搜索数据库名就找到了, A" X% X7 {4 X' q6 o
本地搭建了下访问数据库
' g% |+ V# s: {; A( u) G3 u" ^6 _% v

用记事本打开了数据库$ d7 e) e/ L( V5 E" T) j
搜索<%
3 j8 g1 ~$ V$ O3 |! W, f! I' _
呵呵可以在表情的地址那里插入%>来闭合他~! ?! ~* q% y% X9 E: H& v5 m( C9 f
本地试了下
再次访问数据库0 F1 q- X8 U  r: f
还是出错

%无效字节
搜索%

看了下
发现%应该是在用户信息
所以把所有的用户信息都X了...
再次访问
一片乱码  哈哈6 E( j4 D& K4 l* E4 g4 c% y

OK了 1 F  [, A6 v' u) ~. ~8 i" |) U0 L
到网站那按本地那样闭合%>以及删掉%
访问之
插入一句话
连接
就这样拿下SHELL了& S# g9 T5 o- r/ j" r3 Y1 w9 V
打包XP程序..( |3 I  N4 s  L8 b7 ]7 A
闪人.: X" [  m+ \4 I

下到本地一看3 }* u8 g' }0 t/ d% E6 j6 i6 t0 m
发现那个XP程序本身就可以容易的拿下SHELL了1 h& `: F7 e& M8 B* q
只是最开始没有想到...呵呵6 s0 N- }2 N3 {2 ~% t* l& ?
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数