[原创文章] 拿XP网站程序

程序

出处：B.H.S.T
作者：by:khjl1
6 E* S  Q1 K: L" p9 E% n' {
群里有位兄弟发了个站% M* i, q" n2 G9 C% Q
说那站程序不错~想要个源码
http://www.sucsjz.cn/xp/- U" h/ c" c- ]% I. ?. l" ?( a
打开站点看下

确实蛮不错的~, U3 o8 S+ Q6 y
随便看了下  没发现有什么可以利用的
打开G.cn site:www.sucsjz.cn
找到了这个http://www.sucsjz.cn/qzone/
2 f+ x$ H& P) c- s. [7 V- g* Q
% e/ h( i# G* `) `9 O
嘿嘿加了下admin 不存在
admin_login.asp3 {1 Y" W2 b5 y( x
admin admin
进后台了
粗略看了下  没上传% U9 a8 P) @, G0 N6 w6 X0 E
有数据库压缩。% P3 B" ~5 h" s# c, v/ B8 }$ f2 t
看到数据库地址~1 s: l$ E% l1 q  T
访问之.2 m# h( X4 l2 b3 F* E
1 Z4 N$ l3 }: D) C) W( D) Q$ v: d# a
%>没闭合  汗...
于是找了下源码
搜索数据库名就找到了
本地搭建了下访问数据库
' Y- I! I- G3 F- m, y6 \0 a% i
: E1 r& k' s( q% i, `. u3 }
用记事本打开了数据库0 ]7 j! \) @9 ]- s
搜索<%
( P7 w& X. O! Q8 M. _. n8 j
呵呵可以在表情的地址那里插入%>来闭合他~
本地试了下
再次访问数据库
还是出错4 _$ D) B; [" Q" K% {; u& R

%无效字节
搜索%

看了下
发现%应该是在用户信息% z, v6 I4 X( N/ {+ {+ E; e$ G+ w
所以把所有的用户信息都X了...
再次访问
一片乱码  哈哈
3 b8 |# d# u5 }, {2 T: l8 j
OK了 1 g/ Z/ Z7 T, j: |6 Y; K# H
到网站那按本地那样闭合%>以及删掉%* i: k) {0 |: p
访问之, B! c: P5 \1 g/ D# d% k/ i. d8 ^2 Y
插入一句话
连接) {1 f) S, y5 q1 q  K5 d9 H: |7 }* R
就这样拿下SHELL了8 H4 I4 d$ u9 L1 ?
打包XP程序..
闪人.

下到本地一看* F  z) X; C8 _
发现那个XP程序本身就可以容易的拿下SHELL了; s" u! T; g' R
只是最开始没有想到...呵呵; O5 X6 |9 V1 l' R! {. P
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数