[原创文章] 拿XP网站程序

程序

出处：B.H.S.T) Z3 p  u5 K5 x- Q, e
作者：by:khjl1 3 a3 i" C4 f; ~" y4 ^" @, a- i

群里有位兄弟发了个站/ z, P3 X, T. D5 _% o
说那站程序不错~想要个源码5 m. _! }& A. O* E& O. q' P
http://www.sucsjz.cn/xp/0 E4 j& ]8 |3 F: [+ H
打开站点看下
& @3 S7 F7 r/ b# C1 |$ c
# W+ Z# A( @4 X! o- w
确实蛮不错的~
随便看了下  没发现有什么可以利用的
打开G.cn site:www.sucsjz.cn+ `4 k6 g, A2 D+ G
找到了这个http://www.sucsjz.cn/qzone/3 g1 |& j0 B& ?7 L! S

嘿嘿加了下admin 不存在
admin_login.asp
admin admin2 w, l/ k; a, e: x! m8 D
进后台了
粗略看了下  没上传
有数据库压缩。
看到数据库地址~1 o2 t6 T! `% U5 q* V! {
访问之.

%>没闭合  汗...( ^8 a% {/ ?4 m! T% r8 d2 C$ b; ]( h
于是找了下源码
搜索数据库名就找到了
本地搭建了下访问数据库

; |( p. L. R2 |2 t: x) O
用记事本打开了数据库5 d: Q8 e/ e& @& P* \0 Y! L
搜索<%0 Q( ^  Y; |. y$ D% c: q- g/ a
' M+ i. H2 a! B3 f
呵呵可以在表情的地址那里插入%>来闭合他~
本地试了下
再次访问数据库
还是出错2 k0 p" w  g- t+ O
% T2 x4 S; N. I% S( h1 x, p# J9 y
%无效字节  C$ p* C* G  p# G. Z+ P+ r
搜索%

看了下
发现%应该是在用户信息
所以把所有的用户信息都X了...+ C! A8 O+ _" r
再次访问: t* F  }1 }' m' P6 U: I
一片乱码  哈哈
7 g0 |/ L- P5 J' z! A( ^- F, p
OK了 , Y1 a3 b" A0 ^- x$ M, w/ I" }
到网站那按本地那样闭合%>以及删掉%
访问之
插入一句话! o7 D# {+ j( B' _+ g8 h; ~. f4 R
连接
就这样拿下SHELL了
打包XP程序..
闪人.
$ {7 N3 ~' A: n' R/ P7 s" T- i
下到本地一看# w9 s9 n" Q' F$ A' e; y4 K
发现那个XP程序本身就可以容易的拿下SHELL了& F" Z$ H" n1 G0 j0 Z+ s9 m
只是最开始没有想到...呵呵  Z$ }2 K# f. N
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数