ASP备份成图片的妙用

适合读者：脚本入侵爱好者
前置知识：sql注入
ASP备份成图片的妙用
文/图    lucky_feng
图片和数据库文件备份成ASP或ASA木马是大家经常使用的获得WebShell的手段，然而将ASP文件备份成图片文件，也会有不一样的奇效。

前言：
听说朋友的朋友最近配置了一台价值7万元的服务器（脚本小子：有钱人一个），页面上能够看到的只有一个dvbbs7.1 SP1，感觉无从下手。直到有一天，朋友告诉我论坛新增的博客系统的数据库是默认的data/ Dvboke.mdb（其实很多管理员会修改动网论坛的数据库路径，但是博客数据库的路径很少人会去修改）。入侵就这么开始了。

博客入侵失败
黑防以前有篇文章，名称是《动网7.1SP1进后台靠博客得WebShell》，现在既然有了博客的数据库，所以先从这里入手吧。下载了博客的数据库，找到管理员密码c45f4399e5a3d1bd。MD5crack出马，运气还不错，不到十秒钟就得到一个七位数的纯数字密码。马上拿着这个密码冲到dvbbs7.1，尝试以管理员身份登录，不过没有成功。还不死心，到论坛察看管理团队，得到其他管理员的用户名，再次登录，还是不行。（很多管理员喜欢用两个用户名，大家以后可以尝试一下，这个论坛也是，只是密码不同而已。）因为动网博客需要先登录论坛，才能管理，所以通过博客入侵的方法只能被迫取消了。

Google hack小试牛刀
虽然此服务器不是虚拟主机，但是站点上应该不只一个论坛吧？请来了Google, 输入site:www.b***.net，输出结果有好几十页，大多数是关于论坛的版面或帖子信息，不过同时也发现有一个风华校友录2.0多用户版，还有一个伴江行网上购物系统 6.0。

入侵伴江行购物系统
风华校友录2.0就是以前风月校友录的升级版本，上传漏洞已经修补了，而且现在只允许传图像文件，上次自己看得头大都没有什么方法得到WebShell，这个也只能放弃了。至于伴江行购物系统6.0（最新的版本是6.0 SP1），10底的时候，neeao大哥发布过注入漏洞，但是好像这个站点不能用。不过注入点不用太多，一个就够，手工注入发现这个站点的gongqiu_view.ASP文件存在漏洞，结果如下：

“http://www.b***.net/shop/gongqiu_view.ASP?gq_id=53%20and%201=1”，正常显示，“http://www.b***.net/shop/gongqiu_view.ASP?gq_id=53%20and%201=2”，出错，

接着就交给啊D了，结果得到MD5加密过的密码7a57a5a743894a0e，看到这个密码，大家都笑了，这个不就是传说中admim加密后的数据吗？用账号admin、密码admin直接进到商城后台，发现商城在动网的下一级目录中，图片备份生成ASP木马,却不能执行相信很多人都认为到这一步，肯定可以马上得到WebShell了。其实当我进到后台时，也是这么认为。但是现实往往比理想来的残酷些，管理员BT的设置让下面的几个方法全都失败。

方法一：正常备份和换目录备份
首先通过“商品资料添加”上传一张图片（ASP木马改了后缀的），这里要注意的是，上传的时候，最好用快捷键Ctrl+n新开一个上传页面，并且上传成功后，不要选择弹出来的“关闭窗口”，然后察看IE源码，在这你才能看到上传图片的真正路径，我上传的图片地址是bookpic/20061261556516190.JPG。然后用上传的图片备份数据库成ASP文件。

提示备份成功，在正常的情况下，直接访问databackup/shop.ASP就可以得到WebShell了，具体原因是管理员设置databackup目录禁止执行ASP文件（不允许ASP等文件的配置步骤：IIS管理器→网站名称→属性→主目录→执行权限）。这招操作起来简单，效果却不错。

原本的databackup目录不行，那么改变备份数据库目录到admin试试。可惜又出现“处理url时服务器出错”提示，因为管理员又设置了这个目录没有写入的权限。我下载了商城的代码来看，结果每个目录要么不让写入文件，要么不能执行ASP文件。方法一宣告失败。

方法二：上传抓包，提交修改的数据包
看了BJXupfile.ASP的代码，好像不能直接上传ASP文件。上传图片的时候用WSockExpert抓取数据包，发现filepath可以自定义，修改以后用NC提交数据，提示成功上传，但是访问的时候却找不到。由于某些条件限制，这一步最后没有继续下去，有兴趣的朋友可以试试。

备份动网conn.ASP成图片得到动网数据库
试了这么多方法都没有成功，有点失望，眼睁睁看着自己上传上去的木马图片不能变成ASP来执行，这种感觉就像到嘴的肥肉没办法吃。这时突然想到，既然ASP木马文件改成JPG文件能显示ASP原本的内容，那么动网的conn.ASP文件也应该可以这样看了。马上再一次备份文件，当前数据库路径写../../conn.ASP，备份数据库目录写../bookpic（这个目录肯定可以写入的），备份数据库名称写1.JPG，提示备份成功。

打开bookpic/1.JPG，看到这个conn.ASP的内容，动网数据库地址是b***/dvbbs71.ASP。因为数据库目录有限制的，并且现在的数据库是ASP格式，所以直接下载是不行的。但是ASP备份成mdb后，就可以下载了。第三次备份动网数据库成mdb文件到商城的databackup目录。然后就看到Flashget在快速地工作了，一看数据库大小有300多M，一万多用户啊。这样成功得到论坛的数据库。

峰回路转得到WebShell
动网的管理员密码已经从数据库中破解获得，但还是没有得到WebShell。从上面失败经验可以总结出，得到WebShell需要满足两个条件：
第一，安放木马的目录可以写入；
第二，这个目录可以运行ASP木马。
        接下来就是在动网每个目录下都加一个1.ASP测试上边两个条件，如果出现和图六一样的提示，就说明这个目录不能运行ASP，相反如果提示“HTTP 错误 404 - 文件或目录未找到”就说明能运行ASP了。当我测试到Skins目录时，两个条件都符合。剩下的就是和以前一样的步骤，上传冰狐浪子微型ASP木马图片，第四次备份该图片成ASP文件到Skins目录。客户端连上去，得到熟悉的界面。（很奇怪，大的木马备份成功后，都不能正常运行）

总结：
1．该服务器在动网目录下还有好几个在测试的代码。但从安全角度来说，测试的代码千万不要放到已经运行的服务器上。管理员虽然做了比较BT的设置，但是因为这样的一个测试程序和一个文件夹的权限设置问题，导致整个服务器的安全受到威胁将得不偿失。

2．有些时候备份并不一定能得到WebShell，但是通过备份可以看到很多重要文件的内容。这个道理其实和上传stm或Shtml来查看conn.ASP有点类似，只是图片在任何时候都可以看的。