[原创文章] 拿XP网站程序

程序

出处：B.H.S.T2 Q* a& w: W' t2 y) f& Y3 k
作者：by:khjl1 6 N' Z- E+ R8 U2 j) ]2 v, ?6 U# M4 |
; `  u5 Q  R3 S* Q' }6 G) g
群里有位兄弟发了个站
说那站程序不错~想要个源码! K. _4 U" d; L7 ~+ W3 B. {, k9 z
http://www.sucsjz.cn/xp/+ [& a0 Z" I# J. F% [4 Y/ T4 f
打开站点看下
/ k: D; D) H* h) _7 c1 j

确实蛮不错的~. M6 f: U4 d8 v! Y, M
随便看了下  没发现有什么可以利用的4 o. T: V: ]! C$ U, w
打开G.cn site:www.sucsjz.cn! z4 Z4 ~+ \& o4 G
找到了这个http://www.sucsjz.cn/qzone/! `( |7 i; I5 f5 M8 U* U7 a
+ T' }2 L2 S( S' M- B8 m4 F
5 O$ ]8 o0 W! `+ H# Q! P
嘿嘿加了下admin 不存在 2 i: _4 c. C- A2 L( H* |2 e
admin_login.asp
admin admin
进后台了" w7 T0 M7 `# j6 U; U7 {% r
粗略看了下  没上传
有数据库压缩。: ^. r4 C4 ?8 N4 I% h% Z* q" I
看到数据库地址~
访问之./ `6 y, e, U; R0 {. B- [' \/ J

%>没闭合  汗..., @4 z4 A7 T% B# ^
于是找了下源码
搜索数据库名就找到了8 Q8 ~$ m/ x9 ^4 D& Q
本地搭建了下访问数据库
7 b7 J. i+ A+ ?- C" n1 d5 J

用记事本打开了数据库. w0 k3 S, u% g) @( }# s- R) @
搜索<%& p/ r) Q  `1 P+ H
3 p  O7 ?$ s- ?( Q: X
呵呵可以在表情的地址那里插入%>来闭合他~
本地试了下
再次访问数据库- X% q' t  a( ]% C% i
还是出错

%无效字节5 G5 h1 {! `; o) \; |' r
搜索%
8 o- d& M1 L  v# X, D
看了下& b- O  Y  J2 v. e
发现%应该是在用户信息) `- B% ]7 s( g$ Q+ @: s
所以把所有的用户信息都X了...3 k7 J0 D5 X( u2 s( a
再次访问
一片乱码  哈哈+ }6 h9 |1 f( d* z" M" y% W

OK了 ; S4 r' v6 ~4 Y2 {, e
到网站那按本地那样闭合%>以及删掉%
访问之7 U; [! ^, j" r9 F
插入一句话
连接
就这样拿下SHELL了* X/ \( ]3 W, Y8 ]6 ?& u
打包XP程序..2 b& B5 |3 y' m; I5 D) M
闪人., K& e) {3 e4 y! r) c

下到本地一看
发现那个XP程序本身就可以容易的拿下SHELL了1 G( S' L7 g9 w) @$ V
只是最开始没有想到...呵呵
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数