[原创文章] 拿XP网站程序

程序

出处：B.H.S.T
作者：by:khjl1
- a2 Y; M4 f6 B) j; T. h& }  L4 g
群里有位兄弟发了个站
说那站程序不错~想要个源码0 H8 f# q3 \- v
http://www.sucsjz.cn/xp/
打开站点看下

确实蛮不错的~
随便看了下  没发现有什么可以利用的
打开G.cn site:www.sucsjz.cn
找到了这个http://www.sucsjz.cn/qzone/
7 h2 B0 C( O7 Y9 O; @, F/ ?

嘿嘿加了下admin 不存在
admin_login.asp
admin admin
进后台了' k9 O/ R" i0 [8 S7 |) c( o' h) q- j
粗略看了下  没上传
有数据库压缩。" ]: m* o5 _( @8 m
看到数据库地址~  w+ }1 ?, K8 c! K
访问之.4 @6 C( {" `7 T% g! V$ Y
/ h) v6 w. V* J+ |8 q2 P2 J6 m0 x
%>没闭合  汗...3 G- [, r# t1 }7 _: J% R
于是找了下源码
搜索数据库名就找到了
本地搭建了下访问数据库) e% I8 ?  {! t' X9 F
" x* b$ X! [8 C8 n  \8 j& e

用记事本打开了数据库$ a. O' f$ E& L0 ~7 G1 }
搜索<%+ x0 @& q, V& a3 |! h7 S+ n
. _" ^5 S$ c7 Y
呵呵可以在表情的地址那里插入%>来闭合他~' C4 D( c$ S+ k, k
本地试了下: y. A& h! @( c- k" ?
再次访问数据库& x: r# T6 r1 p
还是出错

%无效字节
搜索%7 y( V4 h: \! l) e' E% p2 e

看了下: l" t5 [! Q; |5 s8 f+ {
发现%应该是在用户信息; a7 W3 p, T) `$ y0 t8 v6 \4 S, S
所以把所有的用户信息都X了...
再次访问( X9 w* C5 X) \0 ]. M# x; P1 q
一片乱码  哈哈

OK了
到网站那按本地那样闭合%>以及删掉%
访问之
插入一句话
连接6 |: b# F) J; |5 X+ o. A+ F$ y! ?
就这样拿下SHELL了5 h- F# I3 E1 k# r0 q
打包XP程序..; X  V9 w$ b4 r2 g8 b
闪人.
8 O! g9 x3 {! O* H& H
下到本地一看( ?9 x6 I; g5 B( Z6 I0 P/ B
发现那个XP程序本身就可以容易的拿下SHELL了
只是最开始没有想到...呵呵
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数