- 帖子
- 86
- 积分
- 297
- 威望
- 343
- 金钱
- 298
- 在线时间
- 41 小时
|
出处:B.H.S.T$ Y9 l# n; q5 h$ k3 G1 d( J; |
作者:by:khjl1 $ s/ J5 D; _9 D& v) U2 h" H
- l7 u& P: J) Q% ^2 v' F! u) x群里有位兄弟发了个站) D4 z: V- o6 G7 h: A1 w
说那站程序不错~想要个源码
' o5 q/ Z" k7 _, F+ [9 Qhttp://www.sucsjz.cn/xp/
8 K# F& W4 x' \/ ?. M9 M. M; Y打开站点看下
# Y- v3 o: M) k6 l* j6 ?6 L( Z! t' `! u F
: F" X; z) V4 z8 O* s
确实蛮不错的~( R% [ n# v* `: I
随便看了下 没发现有什么可以利用的
: }' m; z7 Y! F( Y2 P4 H: l) F+ y打开G.cn site:www.sucsjz.cn
# ~+ I6 Z3 W7 A# {! C! Y找到了这个http://www.sucsjz.cn/qzone/
% ]' {$ F/ O" |0 j' w' r
3 V6 v0 _0 A5 R& q' R7 R5 ] }, p0 @% c, R. J0 L
嘿嘿 加了下admin 不存在 2 W4 A5 t5 m' }- i7 }
admin_login.asp
q. i0 s0 e( J9 Y0 M0 a, }admin admin
5 |; E. v t3 \$ w9 u k进后台了
+ c9 W# E+ l' j* w粗略看了下 没上传
: _) g1 f/ D4 }/ f) h有数据库压缩。" T5 ]* K; ]& K2 z' K6 v, o
看到数据库地址~
! y4 y3 E, Y2 f* m访问之.
P6 w v9 Y9 M s$ S1 `, b9 I
3 E5 o* A$ v$ \" t) O% ], A, c9 A7 |%>没闭合 汗...
- X3 o5 l& r2 H于是找了下源码$ ]3 {% q) @" q
搜索数据库名就找到了# ^4 C; o& n5 O* v# l
本地搭建了下 访问数据库
6 y$ {, N7 A7 k. }+ \8 S6 O+ B" C. ~& `7 @0 C' V( u- ~
* \1 _! r# l, j3 | E2 ?
用记事本打开了数据库5 K/ J+ ^6 [: d& l( |6 l, Y2 W7 f
搜索<%- a6 P# a* @* }5 U
9 f, N$ w; k. w6 u2 N4 y/ ]呵呵 可以在表情的地址那里插入%>来闭合他~! i. D; ~& m! |1 V
本地试了下7 k! K, K6 U j, }0 y5 k
再次访问数据库
. B5 I* U" a- h- x还是出错/ R& `6 ^, r1 O7 F* ~: _
; W% g( I) r0 z; S; R v%无效字节
9 L* a Z1 p$ l搜索%
, {( u5 p, F$ V/ |* B9 q
; v G0 a0 D) }看了下! }2 J/ b, H" X! q+ ?2 r" \2 c
发现%应该是在用户信息
: P& A$ @+ [: B4 `9 N' e所以把所有的用户信息都X了...
8 X' Y% U% x* [1 j再次访问1 h4 g$ H& ~( L2 E7 p
一片乱码 哈哈6 |: I) W: v4 @9 W& I6 s6 O0 V
5 o* s4 c0 V; L0 XOK了
) `4 Q. ^" ]9 Y8 h4 f到网站那按本地那样闭合%>以及删掉%
/ g: W9 f6 L2 X5 P访问之0 R" ?' V0 J) N5 B0 R& X, {, B9 m# |
插入一句话
# c+ _5 a0 W7 y% s8 Z) r; J1 l$ P( ?连接
8 u! _7 ~- ^9 e* t. z) P5 w2 ^: D' @就这样拿下SHELL了' y# r: |8 L1 r% o8 Z
打包XP程序..* [1 {/ K. U% }- U, W) ]2 x
闪人.) B9 H# h% D0 B
. o+ O9 A, X3 o下到本地一看0 ^9 C& f2 p% d% H5 r
发现那个XP程序本身就可以容易的拿下SHELL了5 c$ c4 e5 Q0 {' m. j" `& |& X
只是最开始没有想到...呵呵1 m& Q: R/ b9 O/ H% Q, R4 r
太大了 传不上 算了~ |
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
-
1
评分人数
-
|