[原创文章] 拿XP网站程序

程序

出处：B.H.S.T/ b# {. M% e* a% r! j
作者：by:khjl1 - {! f2 w* A, @' b9 Z9 ?! `

群里有位兄弟发了个站
说那站程序不错~想要个源码5 l/ O6 L* A/ r$ C9 f, m
http://www.sucsjz.cn/xp/# h8 D# `" S& \! v6 a) T
打开站点看下

确实蛮不错的~" p1 f( O2 u: s0 L5 c$ Z: m1 |
随便看了下  没发现有什么可以利用的( n. Z6 r5 v  e' H
打开G.cn site:www.sucsjz.cn
找到了这个http://www.sucsjz.cn/qzone/& s1 T$ G: q/ I# u5 I( U+ A4 }* k, h& c9 X

嘿嘿加了下admin 不存在
admin_login.asp
admin admin" ]- `6 \- b' A$ N  Z
进后台了
粗略看了下  没上传
有数据库压缩。
看到数据库地址~5 J( P% ]2 I$ j
访问之.

%>没闭合  汗...+ p; K5 n2 G; d4 C1 C' g' C; P- }1 ~
于是找了下源码
搜索数据库名就找到了
本地搭建了下访问数据库

4 R5 f+ |* r) s8 C( U4 s
用记事本打开了数据库
搜索<%
! o  D6 B5 E7 F0 N; O
呵呵可以在表情的地址那里插入%>来闭合他~  d' h# k! ^5 A2 k7 l$ v
本地试了下
再次访问数据库
还是出错
- s8 M/ f# p$ ?4 m/ G
%无效字节8 V" Z6 Z( z! D% t
搜索%4 g- _/ X' X, x7 Z) x8 O

看了下0 L9 A' T4 J, J
发现%应该是在用户信息# H+ F4 o9 X# i: L0 a7 _5 n# U8 i
所以把所有的用户信息都X了...2 Q5 C% b$ P, L
再次访问
一片乱码  哈哈

OK了
到网站那按本地那样闭合%>以及删掉%
访问之
插入一句话7 z2 \, a% G6 `; C) h
连接" G2 r: r; I' s
就这样拿下SHELL了9 z4 \1 l" v+ o/ L* N& T" U
打包XP程序..
闪人.

下到本地一看: `4 o4 j! i" G& ^: a7 ^7 c
发现那个XP程序本身就可以容易的拿下SHELL了* p0 X+ z! S& @# H4 v! |
只是最开始没有想到...呵呵
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数