動力上傳漏洞

『壹』 動網7.1 sql版最新注入漏洞的詳細利用以及如何在後台獲取webshell

我就給大家講幾個常用的webshell獲取方法。
1 上傳
說到上傳獲得webshell，就不得不提大名鼎鼎的動網7.0SP2之前的文件上傳漏洞了，那可是連官司方都沒能倖免於難的啊！其中的成因嗎不太好說，大概地說就是字元截斷的問題。我們還是來看看怎麼利用吧。這里我們要請出老兵的萬能上傳工具呢（圖76），為什麼叫萬能上傳工具呢？很簡單，因為連大名鼎鼎的動網論壇都沒有注意到這個嚴重漏洞，其它許多系統自然也避免不了，所以說這個工具是「萬能」的，下面我們找一個沒打過SP2補丁的dvbbs，注冊一個帳號，登錄進去後看有沒有禁止上傳，如果沒有禁止，我們就是提取當前cookies保存起來（怎麼提取？又忘了不是，前面不是說過可以用修改cookies瀏覽器提取嗎？）然後在萬能上傳工具處填好漏洞url，欲上傳的文件和cookies等信息（圖77），點「上傳」，不一會就提示成功了（圖78），我們現在來訪問這個上傳後的文件，看，是不是得到一個shell呢（圖79）
當然，並不是所有的系統都能用這個方法上傳的。下面我再總結幾個常見的上傳方法。
1、進入後台直接上傳。有些系統對管理員可是十分信任的哦，進了後台只要找到有上傳的地方你就可以直接選匹馬放上去，絕不會有任意阻攔（圖80）。
2、添加上傳類型上傳。如果不能直接上傳，可找找看有沒有添加上傳類型的地方，有的話添加一個ASP就可以了。當然，有些系統在代碼中就限定了不允許上傳ASP文件，不要緊，我們可以添加允許上傳ASA、CER等文件，然後把.asp的後綴改為ASA或CER上傳，一樣可用的（圖81）。
3、抓包上傳。這里就要利用Win2000的一個小漏洞了，如果文件名的結尾是空格或「.「號，那麼windows會自動把這個符號「吃」掉。那麼，我們就可以添加允許上傳「ASP 」文件，注意ASP後有個空格，ASP 可不等於ASP啊，所以代碼里的限制就沒用了。然後我們來到文件上傳界面，選擇一個ASP文件，先別上傳。我們打開抓包工具Wsock Expert（圖82），選擇監控IE的上傳窗口，然後回到上傳界面，點擊上傳，提示上傳失敗。預料之中。我們來到Wsock Expert，找到剛才提交的數據包（圖83），看到那個mm.asp沒有，我們在這個後面加個空格，再用NC提交，成功上傳！
4、利用表單沖突上傳。用這個方法最典型的就是動力3.51的上傳了。我們同樣注冊一個用戶，來到發表文章處。切換到「源代碼」模式，輸入下面的代碼：
<FORM name=form1 onsubmit="return check()" action=upfile_article.asp method=post encType=multipart/form-data><INPUT class=tx1 type=file name=FileName> <INPUT class=tx1 type=file name=FileName><INPUT style="BORDER-RIGHT: rgb(88,88,88) 1px double; BORDER-TOP: rgb(88,88,88) 1px double; FONT-WEIGHT: normal; FONT-SIZE: 9pt; BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT: normal; BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE: normal; FONT-VARIANT: normal" type=submit value=上傳 name=Submit></FORM>
再來到「預覽」模式，是不是看到了兩個選擇上傳文件的框卻只有一個上傳按鈕啊（圖84）？我們在第一個框處選擇一個ASP文件，第二個框處選擇一個jpg文件，然後點上傳。可能會提示沖突，但我們返回「源代碼」模式，就可以看到我們上傳後的Webshell地址了。
5、利用代碼對文件類型的限制上傳。現在許多代碼為了安全都限制了上傳ASP文件，但一些代碼的限制方法實在令我不敢恭維。我見過有些代碼的限制方式是一遇到ASP就把它去掉的。那麼，我們完全可以添加一個上傳類型「ASASPP」，這樣一來，在上傳過程中代碼會把中間為ASP去掉，後綴的自然也就變為ASP的了。
6、利用其它上傳工具。老兵的萬能工具雖名為萬能，但因為有些系統的上傳代碼與動網的是有差異的，所以這個工具對它就失效了。我這里還收集了別的一上上傳利用專用程序。比如去緣雅境的，操作起來也十分簡單，相信大家都會用的。
（2）寫入過濾不完全，
因為現在許多系統都是可以用FSO功能直接寫入其文件的，如果寫入文件的過濾不完全，也可以直接往裡寫個webshell，如動易的conife.asp。這里我要講的是leadbbs後台友情鏈接添加處寫入webshell，我們來到後台的添加友情鏈接處，點「新增友情鏈接」（圖85），然後在「網站名稱處填上冰方後浪子微型ASP後門式海洋的一句話木馬，其它亂填（圖86），然後我們用客戶端連接，成功了吧！（圖87）
除了對文件寫入的過濾外，還有對資料庫寫入的過濾。當我們暴庫得知資料庫後綴為ASP，但用網際快車能下載時，我們就可以確定這個資料庫里不包含ASP語句，那麼我們只要找到一個可以寫入資料庫的地方，寫入一句話木馬，再用客戶端連接，一樣可以成功的。
3、後台備分及恢復
說起後台的備分和恢復獲取webshell，我可算是頗有研究，也可以說是從這里起步學習技術的，先說說常規的方法吧，一般地，我們就是把一個ASP木馬改為gif後綴上傳，然後記下上傳後的地址，下面，我們來到數據備分頁面（圖88），在「資料庫路徑」處填自己剛才上傳的文件名，在「備分後路徑」處填自己想要種馬的地址，注意後綴為ASP（圖89），點「備分」後我們就得到了自己想要的webshell。
但是，如果像動力一樣不允許定義當前資料庫地址呢？一樣可以的，我們通過暴庫術式後台看到動力的資料庫地址，因為ASP的話，我們一樣可以把一個ASP木馬改為gif的型式，然後上傳，現在，我們來到「資料庫恢復」頁面，看到沒有，可以自定義恢復資料庫的路徑（圖90），我們選擇我們剛才上傳的文件路徑，恢復（圖91），恢復成功後整個系統是用不了，但我們只須直接訪問資料庫地址就可以得到webshell了，當然，為了不被別人發現最好還是先把資料庫備分好，得到shell後再用shell恢復回去。
上面一般說的方法就是我發表的第一篇文件《利用ACCESS得到webshell一文的補充》，至此，數據備分和恢復的利用似乎完了，其實還沒有，還是那個動力系統，如果我們無法得到資料庫地址，或者數據是mdb的，出放到了web外，我們不就用不了上面的方法了嗎？
別急，再繞個彎子，我們來仔細看看這個動力系統，備分處限制了只能備分當前的資料庫，不能備分其它文件，且備分後文件後綴限為ASA，但可以自定義文件名。恢復處只能把數據恢復到當前資料庫文件，如果遇上本段開頭提的那三種情況，我們把一個shell恢復出來也是沒用的。既然不能直接弄出來，我們就老老實實恢復一個比較正常的數據吧。說是比較正常，那是因為這個資料庫雖然對系統沒有影響，但還是做過一些手腳的。
我們拿一個相同系統的空資料庫，把<%nodownload%>表中的內容改為一句話木馬（圖92），然後再在後台添加允許上傳MDB文件，上傳。下面到數據恢復處把剛上傳的文件恢復回去，這時系統仍是正常運行的。我們重新用默認的用戶名admin，密碼admin888登錄後，再到數據備分的地方，把數據備分出來，然後用客戶端連接這個備分的文件就可以了。
對於限制沒那麼嚴的動網，我們可以直接備分就行了。雖然7.1中對備分處做了限制（圖93），但恢復處可設限制（圖94），條件比動力寬松多了。
4、SQL導出。對於有注入點的SQL站點，我們還可以用黑客界中的丐幫幫主——就是那個臭要飯的發明的SQL寫入導出大法得到webshell，其原理是在知道網站物理路徑的情況下通過往SQL資料庫中寫入一個帶木馬的表，再將這個表導出，就得到webshell了。為了不讓管理人員發現，我們還要刪掉這個新建的表。那個臭要飯的還專門對此寫了工叫getwebshell的工具（圖95），使用起來也並不復雜，我也就不再說了。

『貳』 怎樣掃描別人的網站

壹：先找注入漏洞，在一些新聞或者文章後面加上;或者'來測試是不是返回錯誤，如果返回錯誤的時候再試空格and 1=1 和and 1=2再看返回錯誤是否不一樣，不一樣的說明存在了注入漏洞，開始用各種注入工具進行注入測試發現是ACCESS的資料庫則直接暴用戶名和密碼來後台登陸，再找後台的漏洞看時候可以上傳或寫進ASP馬。如果是SQL的資料庫同樣可以暴帳號密碼，但發現SQL的許可權為SA的就可以直接在對方伺服器內增加ADMIN帳號SQL連接器連接即而開對方的3389埠開完全控制。

貳：找各種附帶上傳功能的程序，比如動力文章、螞蟻影視、同學錄等等，接下來要注冊的進行注冊不需要注冊的可以把該上傳功能保存為本地HTM文件來看是否本地限制格式，如果不是的話那就利用林子大哥做的欺騙上傳的HTM或者用NC等工具來抓包進行修改然後再上傳ASP馬。有些程序則需要你把該程序的源代碼下下來之後查看上傳是否可行和上傳的真確地址。

叄：利用%5c進行暴庫如果是.mdb格式的則直接下載，利用資料庫查看的工具進行查找帳號和密碼，如果密碼加密就用dv.exe進行破解只破解純數字和純字母！數字字母混合的實在太廢時間了不推薦。如果對方資料庫為.asp後綴的，那就更好辦了在你能填寫的信息里填寫<%execute request("l")%>的代碼來使資料庫只執行這個代碼就可以用藍屏大叔的木馬客戶端來連接對方的資料庫上傳大的ASP馬。

肆：尋找網站各種程序後台，程序越多越好，登陸時先用 'or''=' 帳號密碼來測試是否有最老的ASP漏洞，如果都不行再測試默認的帳號密碼，一般均為admin或者有的密碼為admin888等等。

伍：尋找動網論壇，呵呵 現在大部分都網站都用此論壇程序。動網論壇被高手稱為洞網因為其漏洞實在太多了1、上傳漏洞，我就不想多說了就是利用upfile.asp 2、默認資料庫漏洞，很多的弱智管理員都不改資料庫名稱的在data/dvbbs7.mdb就可以把資料庫下載下來了，再加上dv_log表段看帳號密碼使得動網論壇的資料庫加密行同虛設。3、虛擬形象插件漏洞，裡面同樣存在上傳漏洞利用方式和upfile.asp一樣。4、下載中心插件漏洞，一樣的上傳漏洞利用方式。5、資料庫備份默認地址漏洞，有些管理員改了資料庫的地址，但是由於疏忽而沒改備份後的資料庫路徑地址存在於databackup/dvbbs7.mdb下載下來後和上面第2條用法一樣。（有許多的論壇都存在漏洞比如Discuz2.2F等等。。）

陸：各種留言本或日記存在默認資料庫漏洞，因為是個小程序所以改的人也不是很多。只要下載該程序下來就可以知道資料庫地址了。也有很多別的辦法可以知道資料庫地址，如：暴庫、查看conn.asp的源文件、還有就是利用該程序管理員的疏忽 就是在地址後面打上（程序說明.txt、說明.txt、readme.txt等等）自然就會告訴你它的默認地址了^ ^找到了地址之後可以利用獲得的管理員密碼來破該站所在的別的管理員密碼，很管用的呦 呵呵，還有就是asp結尾的資料庫大家可以參照上面的叄用藍屏大叔的木馬來入侵。

柒：利用旁註來進行入侵，有時候大家都一個站一點辦法都沒有，那怎麼辦呢？呵呵 這個站沒有漏洞並不說該站所在伺服器別的站也不存在漏洞，那我們就可以利用查找該伺服器玉米的工具來找別的站，然後找到別的站之後再來循環上面的壹~~陸。