[原创文章] 拿XP网站程序

程序

出处：B.H.S.T6 P2 b* v' |9 {5 v& k! l
作者：by:khjl1 5 E9 `- G6 P, ^! {6 A; S
: k; }$ P2 ~$ t, P  e) U
群里有位兄弟发了个站
说那站程序不错~想要个源码
http://www.sucsjz.cn/xp/* \- j: e# _- g: m' N
打开站点看下

. J$ w" k9 {8 w2 u
确实蛮不错的~" z& F: @0 V& P( Y1 K- M& L
随便看了下  没发现有什么可以利用的% g% q) |5 R: M/ M* ~
打开G.cn site:www.sucsjz.cn9 ?% n5 ~, C+ j( c
找到了这个http://www.sucsjz.cn/qzone/$ b4 \' j8 @/ S9 d( X

  b' H/ O1 _# y. }( q! ]8 T1 P7 n
嘿嘿加了下admin 不存在 4 K2 ]( d5 z: W( m
admin_login.asp
admin admin
进后台了
粗略看了下  没上传
有数据库压缩。7 M' B7 b( k5 X& ]' T9 t$ C
看到数据库地址~
访问之.( {, \& ]# W( S8 [" z. i  I' Q
; \4 ]; J, G0 O" w
%>没闭合  汗...
于是找了下源码  h4 y  K6 {+ X! [3 `6 [7 w. W) q" n
搜索数据库名就找到了
本地搭建了下访问数据库  e' Q! v, r1 R7 Q  N
; ^1 [! E# x2 B4 c

用记事本打开了数据库: ~3 X0 d. s; f: N
搜索<%  L! m; [# s3 O) @+ m) K4 z8 _/ P% _! k# ^

呵呵可以在表情的地址那里插入%>来闭合他~
本地试了下' H+ n/ x( a# _) |
再次访问数据库
还是出错
- n- S/ `( G. B5 w
%无效字节* f+ x# y. P* y* ~* e# Z
搜索%/ F7 f% W  T8 l! d: U
0 p! I. K% K: w7 b- ~- I
看了下) Y3 i  z5 C9 T- Q9 q+ |, n! F2 T4 u% B$ P
发现%应该是在用户信息  v" m7 a2 Q) E+ A5 s
所以把所有的用户信息都X了...7 E) B6 m% |: |* ~' E2 }
再次访问
一片乱码  哈哈2 j& B- K1 Z6 ]6 H2 B7 \( k2 }

OK了
到网站那按本地那样闭合%>以及删掉%
访问之
插入一句话
连接8 t0 f2 X! ?4 v. S8 W) e
就这样拿下SHELL了
打包XP程序..
闪人.
* m9 X; a( t4 Z/ D8 }$ u% H/ b
下到本地一看
发现那个XP程序本身就可以容易的拿下SHELL了
只是最开始没有想到...呵呵( \  I+ g: X4 C% I
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数