[原创文章] 拿XP网站程序

程序

出处：B.H.S.T
作者：by:khjl1 4 t, S8 \2 A# Q5 U
! p& r. F) T* S5 g: l4 S
群里有位兄弟发了个站
说那站程序不错~想要个源码
http://www.sucsjz.cn/xp/
打开站点看下

0 D( O; N4 n6 w& P  a) n0 x
确实蛮不错的~0 m" _% K2 [& n( x
随便看了下  没发现有什么可以利用的
打开G.cn site:www.sucsjz.cn0 N* T$ a- |' P
找到了这个http://www.sucsjz.cn/qzone/9 d2 [3 x$ h' X% v
' \( t4 L$ X+ D  p) _4 ~" }
) e% x" Y3 h0 m/ v
嘿嘿加了下admin 不存在 ; a7 f, q0 r. A3 i" ?5 ~
admin_login.asp' q" O5 n5 D' `! D% L+ C
admin admin! d. p& Z/ w3 K3 q" b6 i' J
进后台了
粗略看了下  没上传* U" m2 S9 U5 z0 s! z8 y) F
有数据库压缩。! E/ O9 b) n1 s) a- f
看到数据库地址~  C  J# A% m7 o' C! s  f; M( L
访问之.
3 a2 }; m7 |; M3 Q8 |0 s
%>没闭合  汗...$ p! q: K) ?% \& l7 E+ u0 r% T; D" C! `
于是找了下源码% f- y; ]4 J7 U4 G4 o/ u7 t) a
搜索数据库名就找到了
本地搭建了下访问数据库$ J  A# s, ?6 I: @2 M

" h8 L+ b3 y7 \9 S( \: G. a. p
用记事本打开了数据库% f; _2 L* T$ ^( D& a# o, E& f
搜索<%. r/ E! u$ N; R# Y9 }8 R) C

呵呵可以在表情的地址那里插入%>来闭合他~4 {3 Q, h1 S" L1 U
本地试了下
再次访问数据库
还是出错0 t0 u8 ^3 R$ r2 X" r  T
! G: ?0 I- [1 X" B8 r5 s6 V( |5 L5 g/ q/ ^  o
%无效字节
搜索%% J4 d" @& B5 |9 D

看了下
发现%应该是在用户信息
所以把所有的用户信息都X了...1 P2 X+ v/ q. K% P
再次访问
一片乱码  哈哈

OK了 ! {6 m/ L* w" z/ F( A3 M  E' e
到网站那按本地那样闭合%>以及删掉%
访问之
插入一句话
连接
就这样拿下SHELL了
打包XP程序..6 }+ f- s' u7 c/ F+ M7 w
闪人.

下到本地一看
发现那个XP程序本身就可以容易的拿下SHELL了
只是最开始没有想到...呵呵
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数