原创全球首发 Web wizforums 后台拿 SHELL,By:hostay

    废话有点多,各位见谅,大牛请去打酱油,无任何技术含量。

    某日闲的蛋疼,路过某国际游戏站发现用的是ASP的,于是直接丢到扫描器里面扫扫(人懒没办法),看看有没有注入神马的,注入没有扫到,却发现了一个http://xxxxxx.com/forum1/admin.asp,目录,原来是论坛管理入口,上面写着N大几个字

全球首发 Web wizforums 后台拿 WebShell

    这是神马CMS,木有见过,百度了一下,原来是英国XXXX支持ACCESS,MSSQY,MYSQL数据库。。。。。省略N多,收费的ASP论坛,顺便下了一份免费版的到本地架设,安装完了却没有提示设管理密码,打开数据库却发现密码不知道是什么加密码的,破解不了,木有办法只好又问百度了,发现用户名和密码是 Administrator/letmein,本地进去了,抱着无所谓的心态试试目标站,RP好啊,没办法嫩是进去了,心里一阵惊喜啊,进了后台当然是马上找上传了,找完全部后台选项栏没有发现一个可以上传文件地方,却发现可以设置上传类型,顺手加了个ASP;asa;aspx;cer;php;统统提示出现神马XXOO的错误,只好老老实实的打开本地的CMS,在后台溜了一圈,发现免费版本除了能管理论坛贴子以外,啥功能都木有,太绝了,你至少也得让我有个上传功能啊,心里问候了CMS的主人N遍,看了看源代码,才发现上传地址是直接URL提交的,http:// xxxxxx .com/forum1/ RTE_popup_file_atch.asp,向下看更让人心酸

以下是引用片段:

If Request.Form("postBack") Then

        'List of bad file types
       
        'ISAPI and CGI web page extensions (can be used to hack site)
        saryBadFileTypes(0) = "asax"
        saryBadFileTypes(1) = "ascx"
        saryBadFileTypes(2) = "ashx"
        saryBadFileTypes(3) = "asmx"
        saryBadFileTypes(4) = "aspx"
        saryBadFileTypes(5) = "asp"
        saryBadFileTypes(6) = "asa"
        saryBadFileTypes(7) = "asr"
        saryBadFileTypes(8) = "axd"
        saryBadFileTypes(9) = "cdx"
        saryBadFileTypes(10) = "cer"
        saryBadFileTypes(11) = "cgi"
        saryBadFileTypes(12) = "class"
        saryBadFileTypes(13) = "config"
        saryBadFileTypes(14) = "com"
        saryBadFileTypes(15) = "cs"
        saryBadFileTypes(16) = "csproj"
        saryBadFileTypes(17) = "cnf"
        saryBadFileTypes(18) = "dll"
        saryBadFileTypes(19) = "edml"
        saryBadFileTypes(20) = "exe"
        saryBadFileTypes(21) = "idc"
        saryBadFileTypes(22) = "inc"
        saryBadFileTypes(23) = "isp"
        saryBadFileTypes(24) = "licx"
        saryBadFileTypes(25) = "php3"
        saryBadFileTypes(26) = "php4"
        saryBadFileTypes(27) = "php5"
        saryBadFileTypes(28) = "php"
        saryBadFileTypes(29) = "phtml"
        saryBadFileTypes(30) = "pl"
        saryBadFileTypes(31) = "rem"
        saryBadFileTypes(32) = "resources"
        saryBadFileTypes(33) = "resx"
        saryBadFileTypes(34) = "shtm"
        saryBadFileTypes(35) = "shtml"
        saryBadFileTypes(36) = "soap"
        saryBadFileTypes(37) = "stm"
        saryBadFileTypes(38) = "vsdisco"
        saryBadFileTypes(39) = "vbe"
        saryBadFileTypes(40) = "vbs"
        saryBadFileTypes(41) = "vbx"
        saryBadFileTypes(42) = "vb"
        saryBadFileTypes(43) = "webinfo"
        saryBadFileTypes(44) = "cfm"
        saryBadFileTypes(45) = "ssi"
        saryBadFileTypes(46) = "swf"
        saryBadFileTypes(47) = "vbs"
        saryBadFileTypes(48) = "tpl"
        saryBadFileTypes(49) = "cfc"
        saryBadFileTypes(50) = "jst"
        saryBadFileTypes(51) = "jsp"
        saryBadFileTypes(52) = "jse"
        saryBadFileTypes(53) = "jsf"
        saryBadFileTypes(54) = "js"
        saryBadFileTypes(55) = "java"
        saryBadFileTypes(56) = "wml"
        saryBadFileTypes(56) = "xslt"
       
       
        'Remove spaces and dots in file types
        strFileTypes = Replace(strFileTypes, " ", "", 1, -1, 1)
        strFileTypes = Replace(strFileTypes, ".", "", 1, -1, 1)
        strImageTypes = Replace(strImageTypes, " ", "", 1, -1, 1)
        strImageTypes = Replace(strImageTypes, ".", "", 1, -1, 1)
        strAvatarTypes = Replace(strAvatarTypes, " ", "", 1, -1, 1)
        strAvatarTypes = Replace(strAvatarTypes, ".", "", 1, -1, 1)

    小小的一颗心,凉了半头,所有的IIS能解析脚本全都过滤了,连”.”都过滤了,”;”用来分隔文件上传类型,看样子修改文件类型上传是不可能了,更别说xxx.asp;.gif了,网上看一下,前辈们有没有留下此CMS的后台拿SHELL方法

全球首发 Web wizforums 后台拿 WebShell

    按照前辈们说的方法,上传成功了,可是ASP~ASP能解析吗,折腾了好久,试了N次没有成功,这不有点误人子弟吗?只好向某大牛求教,大牛下了CMS给我分析讲解了半天,结果因为我的天真,被打击了,心里那个郁闷啊,难道就这样放弃了,有点不甘心,花去哥这么多时间,(时间等于金钱,老师教的,你们懂的)。突然间像失去了目标,无聊的翻着源代码,找另一个上传页面http:// xxxxxx .com/forum1/ file_upload.asp,不过文件类型上传一样限制着,后台加了一个ASP…..ASP,过滤掉中间的点成为APSASP,直接上传ASP没有成功,加了个GIF头,还是一样没有成功,干脆把图片用记事本打开,再后面加上一句话代码,上传提示upload Success,这不是成功么,心里那个高兴啊。为什么设置aspasp能上传图片+asp文件,我也很费解

    得到一句话地址http:// xxxxxx .com/forum1/ upload/1/xx.asp连上一句话传了个大马,后面的请你们自由幻想,end

    PS:由于写这篇文章的时候才发现原站的默认密码让管理改了,所以无图无真相,本人文笔不好,没能表达出真正的意思,请各们见谅,没有任何技术含量,其实真正拿SHELL过程中远远没有这么简单,我整整研究了三天,渗透玩的就是耐心。我一直都很感谢某位大牛对我无私的帮助,(不敢说名字,说了怕他打我)谢绝转载,Thank you

留言评论(旧系统):

我叫罗玉凤! @ 2011-05-19 13:55:40

谢绝转载,Thank you,木JJ阿

本站回复:

木鸡鸡木鸡鸡……