(转载)简单入侵59魔兽私服

kk88

文章作者:小波 www.byxiaobo.com.cn

为了庆祝本人的BLOG被GOOGLE!本人决定把 入侵59魔兽sf的过程讲给大家！
如果没有得到本人的同意，不允许转载！
漏洞页面:Img_Show.php
SQL注入！
大家可以打开GOOGLE搜一下关键词:Img_Show.php?id=
我事先已经找好一个SF站了！地址：http://www.wow-storm.com/
图1

呵呵然后打开图片地址：http://www.wow-storm.com/Img_Show.php?id=5
图2

提交'符号看下图3

返回错误信息！像这样的有提示的错误！建议还是用工具,手工注入真的很累！
我就用工具打开检测一下！图4

直接检测出管理员的帐号和密码了，而且还是明文！登陆下网站后台
地址是默认的admin图5 图6


呵呵到了后台这原先是渗透了一个多小时，现在我就不多讲了，直接讲如何拿SHELL吧！
准备一只马然后在马的代码上边插入GIF89a欺骗系统+03系统完美的解析BUG如图7

在玩家贴图|上传那上传马图8.9


呵呵 然后在 图片名称: 随便输入几个字进去 然后 点填加信息如图10

谈后在 玩加贴图那 找我们马的地址图11

得到马的地址之后当然是登陆WEBshell图12

剩下的提权我就不多说了！我想大家也都会吧MYSQL提权 IIS提权 都可以的！
教程完毕,希望大家多来我的BLOG上找东西，看东西我会不段的更新好东西滴！by：小波