[原创文章] 拿XP网站程序

程序

出处：B.H.S.T
作者：by:khjl1

群里有位兄弟发了个站' L8 t* o2 ]& _$ M! {
说那站程序不错~想要个源码( S( Q- P. M. u0 q- g
http://www.sucsjz.cn/xp/3 ^. X1 f# R' ]6 J: a6 e& z
打开站点看下3 E) z8 j" z3 W2 L; A, i6 [7 r5 R) o' g
8 \  \  o$ u. J* K3 ^7 d8 r( k" T

确实蛮不错的~! M! U! M% z, d, w$ L' A. Y
随便看了下  没发现有什么可以利用的
打开G.cn site:www.sucsjz.cn
找到了这个http://www.sucsjz.cn/qzone/. g% @% Y4 V! g3 l4 ^3 S
% U1 B8 N. l" n7 R* u1 {
8 ~9 `+ S6 P2 z. Q8 X0 `
嘿嘿加了下admin 不存在
admin_login.asp
admin admin
进后台了
粗略看了下  没上传3 p) u1 [% `& ~! A% @7 [
有数据库压缩。
看到数据库地址~- U6 z: Y$ P8 i* s& c4 U5 |3 L! ]
访问之.' ~8 M$ v8 F' }+ b$ i! U$ W
+ `$ z, b- u5 e2 Q
%>没闭合  汗...5 ]$ Q- B+ W$ e* t2 l) l5 |
于是找了下源码
搜索数据库名就找到了% X7 C5 g- [! u
本地搭建了下访问数据库

0 z0 N! a6 U. I$ J  X
用记事本打开了数据库
搜索<%

呵呵可以在表情的地址那里插入%>来闭合他~
本地试了下
再次访问数据库
还是出错

%无效字节" C, |3 y% N4 z. _2 d; l; }
搜索%% J  ?, H. v- i7 L

看了下/ U* f* d4 r/ H. d) J
发现%应该是在用户信息
所以把所有的用户信息都X了...8 H5 V) C& ?/ t
再次访问! Q9 x/ V, R! f( E
一片乱码  哈哈0 [0 Y& n: r) r3 k  s& i- g$ @% l
0 r! M# [! u) P9 U1 T
OK了 # B/ s" [2 X. g0 b1 O
到网站那按本地那样闭合%>以及删掉%$ \: h( g) k2 N1 |
访问之
插入一句话2 ~! W. P: Y, T* [; `9 b5 S
连接
就这样拿下SHELL了
打包XP程序..
闪人.6 a% V9 ]) M2 S: b! ]
/ h( \7 X" a9 E9 R: i
下到本地一看
发现那个XP程序本身就可以容易的拿下SHELL了: i8 G1 K$ l- c6 p
只是最开始没有想到...呵呵
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数