[原创文章] 拿XP网站程序

程序

出处：B.H.S.T$ Y9 l# n; q5 h$ k3 G1 d( J; |
作者：by:khjl1 $ s/ J5 D; _9 D& v) U2 h" H

群里有位兄弟发了个站) D4 z: V- o6 G7 h: A1 w
说那站程序不错~想要个源码
http://www.sucsjz.cn/xp/
打开站点看下
6 L( Z! t' `! u  F
: F" X; z) V4 z8 O* s
确实蛮不错的~( R% [  n# v* `: I
随便看了下  没发现有什么可以利用的
打开G.cn site:www.sucsjz.cn
找到了这个http://www.sucsjz.cn/qzone/

' R7 R5 ]  }, p0 @% c, R. J0 L
嘿嘿加了下admin 不存在 2 W4 A5 t5 m' }- i7 }
admin_login.asp
admin admin
进后台了
粗略看了下  没上传
有数据库压缩。" T5 ]* K; ]& K2 z' K6 v, o
看到数据库地址~
访问之.

%>没闭合  汗...
于是找了下源码$ ]3 {% q) @" q
搜索数据库名就找到了# ^4 C; o& n5 O* v# l
本地搭建了下访问数据库
" C. ~& `7 @0 C' V( u- ~
* \1 _! r# l, j3 |  E2 ?
用记事本打开了数据库5 K/ J+ ^6 [: d& l( |6 l, Y2 W7 f
搜索<%- a6 P# a* @* }5 U

呵呵可以在表情的地址那里插入%>来闭合他~! i. D; ~& m! |1 V
本地试了下7 k! K, K6 U  j, }0 y5 k
再次访问数据库
还是出错/ R& `6 ^, r1 O7 F* ~: _

%无效字节
搜索%

看了下! }2 J/ b, H" X! q+ ?2 r" \2 c
发现%应该是在用户信息
所以把所有的用户信息都X了...
再次访问1 h4 g$ H& ~( L2 E7 p
一片乱码  哈哈6 |: I) W: v4 @9 W& I6 s6 O0 V

OK了
到网站那按本地那样闭合%>以及删掉%
访问之0 R" ?' V0 J) N5 B0 R& X, {, B9 m# |
插入一句话
连接
就这样拿下SHELL了' y# r: |8 L1 r% o8 Z
打包XP程序..* [1 {/ K. U% }- U, W) ]2 x
闪人.) B9 H# h% D0 B

下到本地一看0 ^9 C& f2 p% d% H5 r
发现那个XP程序本身就可以容易的拿下SHELL了5 c$ c4 e5 Q0 {' m. j" `& |& X
只是最开始没有想到...呵呵1 m& Q: R/ b9 O/ H% Q, R4 r
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数