[原创文章] 拿XP网站程序 程序

khjl1

出处：B.H.S.T0 F* }3 N2 e) e( K9 z6 x4 ?# h/ ?
作者：by:khjl1   
' c9 F7 ~; a, n! C) f" o3 q3 {6 ]( T  E' ]% I
群里有位兄弟发了个站5 x! V( _$ o- Q/ `  A$ @" f
说那站程序不错~想要个源码
; G. ]3 w) x' O$ \, n" khttp://www.sucsjz.cn/xp/7 ?3 H$ ~0 g0 c) S1 p. H: ?
打开站点看下
* |6 b" u3 `/ z, N- i8 ^0 u. f% i8 Z! Y8 q5 k
) k, f3 W5 ~  [3 q' ~
确实蛮不错的~  J" Q: [) F9 n/ x
随便看了下  没发现有什么可以利用的
% M4 B# W! _. l& e2 i$ n& M打开G.cn   site:www.sucsjz.cn2 B/ `3 H, J0 ^* c
找到了这个http://www.sucsjz.cn/qzone/' o) d* o$ q6 e0 a. t! ?

0 H4 p5 K% h$ u% A, W/ p$ G: ~4 e+ F, X
嘿嘿 加了下admin 不存在 3 r3 c7 N% w, f5 N" z& t
admin_login.asp
! G2 ~$ y$ i) a! C$ m+ b7 _2 \admin admin
4 u/ I# J% v; I/ `6 a5 l- J: d进后台了) H" E: Q5 K4 H- h+ h3 w) t9 \! Z
粗略看了下  没上传) P( K/ B5 r6 K5 s9 M4 @% M& l
有数据库压缩。
0 z  O+ _1 m9 O/ o9 O- S看到数据库地址~, [0 f( F4 y/ }% U
访问之.
, ~* {2 l/ i1 }5 v6 c- d
* {% J/ m8 r. d) ]: N  G%>没闭合  汗..." p/ C9 r6 A; V$ h3 A; v% Z
于是找了下源码
( R! P! @7 ?2 t/ l: |搜索数据库名就找到了
, j5 u8 a& V+ ~" a) q$ K% J本地搭建了下 访问数据库
/ S: I! [# {5 H9 j) U1 ?! p; I1 l& I7 s+ M4 Z% |' ?, I: m
9 d* J0 D  L  ?1 w8 h4 w, D8 T
用记事本打开了数据库8 U, I8 [( |8 m5 H8 L; p+ w
搜索<%
, t5 v1 m* e! T3 e# H* A" Y) r% ?. s* o) q2 [0 ~8 W' a
呵呵   可以在表情的地址那里插入%>来闭合他~$ f# }. _! y, W5 `  Y1 ^
本地试了下
  V2 r0 F/ k+ ^5 a, i再次访问数据库
/ x( b& w0 W7 z& n. ^还是出错% Z/ B2 w% R' u  P8 i, I

* q' `9 [( k1 F9 y( Q%无效字节
; Q9 d/ ~: ?9 j, b; V搜索%
7 ~; h: k2 D/ G# O( Q/ g  f( j6 X1 G" B8 e) K1 A
看了下2 ]! l* M* m" D" P# ?0 |) b
发现%应该是在用户信息
4 C; y" c' x$ f所以把所有的用户信息都X了...
% ~7 J, z! a4 w再次访问
( `( F/ w9 A/ D" Y6 S+ Q一片乱码  哈哈
8 u9 v2 F( g* f; Y9 z4 G* s; K4 ]# _( G2 _5 n
OK了
. j' m8 L4 S# ], j$ L到网站那按本地那样闭合%>以及删掉%
" I( |4 n7 e- N) _* ]+ C; o访问之. W, x$ Q  B7 u
插入一句话0 Z9 v3 f+ C3 c
连接
& V; t# X1 I2 J2 N4 D  p5 f就这样拿下SHELL了
5 s$ L1 h' C4 K/ j打包XP程序..
1 P8 U& i- o9 _3 X3 R! A闪人.9 p$ n+ B0 K# z

& Z% S. U& i& R% x1 k下到本地一看0 @2 y1 z6 h$ E5 C- Y/ e' Q7 z
发现那个XP程序本身就可以容易的拿下SHELL了& B& y+ R5 I- n
只是最开始没有想到...呵呵, q9 y5 x2 E" o" }8 {" Y
太大了  传不上 算了~