[原创文章] 拿XP网站程序

程序

出处：B.H.S.T3 Y9 [9 z: p; I. b4 d
作者：by:khjl1
5 q& P# n1 L! p" f# }% ?
群里有位兄弟发了个站, `+ T( B) R+ d' z
说那站程序不错~想要个源码6 C  y- `# U6 f  M' w6 v% Z* J% B) r
http://www.sucsjz.cn/xp/
打开站点看下6 [7 m3 W# w( D( h$ }
/ K8 ?( e% }4 g

确实蛮不错的~% e1 o3 i! Y2 Y$ h9 I
随便看了下  没发现有什么可以利用的
打开G.cn site:www.sucsjz.cn* N' V. @0 i+ b* I
找到了这个http://www.sucsjz.cn/qzone/4 l% j0 F# U$ U# F

嘿嘿加了下admin 不存在 7 s) J' L0 Z" I8 {: |# J
admin_login.asp) F4 o- x. _1 |7 x/ P
admin admin
进后台了
粗略看了下  没上传6 y, s$ P& e% |0 e
有数据库压缩。
看到数据库地址~, J% P% f5 I! {5 L9 V
访问之.7 G: u* {6 Q" _. [. K2 ^( i

%>没闭合  汗...
于是找了下源码
搜索数据库名就找到了9 |- R) R- T0 H
本地搭建了下访问数据库7 T# L( s$ b) l' p+ ~

( u5 ]  Y* p; M( F& m. r+ t
用记事本打开了数据库
搜索<%
$ y2 `% x5 R: ^
呵呵可以在表情的地址那里插入%>来闭合他~" y, p$ Q; c3 i% u6 {+ q( T& U( G# Z
本地试了下' F7 T/ L( Z: @( C6 @
再次访问数据库
还是出错

%无效字节) C1 F$ T0 m) V/ [4 O" ^# b, E- l
搜索%
: W  b/ J8 t7 P
看了下( X% b& `% Y/ p4 y% M
发现%应该是在用户信息
所以把所有的用户信息都X了...1 g2 \4 Y2 w3 L- y( Z/ N( ]+ e
再次访问2 y4 D* W9 u7 O
一片乱码  哈哈
+ C) {4 i. L1 z) A- Q; N
OK了 7 ^( V: D5 X' Y' I' L$ s8 N% J
到网站那按本地那样闭合%>以及删掉%
访问之
插入一句话
连接, t+ m5 L4 P9 q+ ~- N0 i: l
就这样拿下SHELL了
打包XP程序..7 T$ }1 @$ S: S! A( ^" T$ i1 d
闪人.

下到本地一看: {% F9 L2 K3 G# h" V3 O
发现那个XP程序本身就可以容易的拿下SHELL了! n- R5 z6 @$ |% O' t# _* q
只是最开始没有想到...呵呵# b$ C3 {! a- n. }) r. J& Z; ?3 }
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数