[原创文章] 拿XP网站程序

程序

出处：B.H.S.T
作者：by:khjl1 & A5 j+ A, m& n5 }/ C

群里有位兄弟发了个站4 V4 `8 h8 _' }# w, D
说那站程序不错~想要个源码
http://www.sucsjz.cn/xp/
打开站点看下
  N& T! J6 z6 ]3 M! _. @

确实蛮不错的~
随便看了下  没发现有什么可以利用的
打开G.cn site:www.sucsjz.cn
找到了这个http://www.sucsjz.cn/qzone/5 ^: c# F7 d4 z* M

嘿嘿加了下admin 不存在
admin_login.asp8 ?/ y0 K$ j8 |+ V  J; W' o$ r( T% H
admin admin# ]; A# _5 G& l4 ]( h  ?  v4 a! j4 d0 I
进后台了/ F+ S) b8 K8 b2 l  D
粗略看了下  没上传
有数据库压缩。
看到数据库地址~! t+ L2 O! Z& h5 V& r
访问之.# g( ]5 B$ X" S1 l* t. x- |

%>没闭合  汗.... l4 t8 n: `0 }4 `/ I
于是找了下源码0 ]% w7 u: t  Q9 q+ z6 W% Q
搜索数据库名就找到了
本地搭建了下访问数据库

用记事本打开了数据库
搜索<%' \; c! l' R. ~3 g9 ^
) k- a: A1 ~3 N
呵呵可以在表情的地址那里插入%>来闭合他~+ W9 l: z" b- ?6 _4 B- s3 i
本地试了下
再次访问数据库
还是出错2 b( f0 ~7 L* e- _4 }! F

%无效字节6 u9 Y/ W6 M( H) m1 ?" b
搜索%+ X9 B0 Q. \1 x

看了下) ~0 V; Y8 t: ^9 {) d0 g9 A: w$ r
发现%应该是在用户信息
所以把所有的用户信息都X了...7 d. f$ }8 U! E  b9 k, L9 [% _
再次访问1 z/ a+ W. O" K# v1 z/ r
一片乱码  哈哈

OK了 1 G2 x2 m3 ~7 Z4 \- A# @$ N4 ], l
到网站那按本地那样闭合%>以及删掉%& q) U. e9 M( O, p
访问之1 S* g! d0 @8 }
插入一句话
连接
就这样拿下SHELL了
打包XP程序..
闪人.
; h% E) K& @* I
下到本地一看
发现那个XP程序本身就可以容易的拿下SHELL了+ E6 T% v- i  w4 z
只是最开始没有想到...呵呵
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数