动力上传漏洞

‘壹’ 动网7.1 sql版最新注入漏洞的详细利用以及如何在后台获取webshell

我就给大家讲几个常用的webshell获取方法。
1 上传
说到上传获得webshell，就不得不提大名鼎鼎的动网7.0SP2之前的文件上传漏洞了，那可是连官司方都没能幸免于难的啊！其中的成因吗不太好说，大概地说就是字符截断的问题。我们还是来看看怎么利用吧。这里我们要请出老兵的万能上传工具呢（图76），为什么叫万能上传工具呢？很简单，因为连大名鼎鼎的动网论坛都没有注意到这个严重漏洞，其它许多系统自然也避免不了，所以说这个工具是“万能”的，下面我们找一个没打过SP2补丁的dvbbs，注册一个帐号，登录进去后看有没有禁止上传，如果没有禁止，我们就是提取当前cookies保存起来（怎么提取？又忘了不是，前面不是说过可以用修改cookies浏览器提取吗？）然后在万能上传工具处填好漏洞url，欲上传的文件和cookies等信息（图77），点“上传”，不一会就提示成功了（图78），我们现在来访问这个上传后的文件，看，是不是得到一个shell呢（图79）
当然，并不是所有的系统都能用这个方法上传的。下面我再总结几个常见的上传方法。
1、进入后台直接上传。有些系统对管理员可是十分信任的哦，进了后台只要找到有上传的地方你就可以直接选匹马放上去，绝不会有任意阻拦（图80）。
2、添加上传类型上传。如果不能直接上传，可找找看有没有添加上传类型的地方，有的话添加一个ASP就可以了。当然，有些系统在代码中就限定了不允许上传ASP文件，不要紧，我们可以添加允许上传ASA、CER等文件，然后把.asp的后缀改为ASA或CER上传，一样可用的（图81）。
3、抓包上传。这里就要利用Win2000的一个小漏洞了，如果文件名的结尾是空格或“.“号，那么windows会自动把这个符号“吃”掉。那么，我们就可以添加允许上传“ASP ”文件，注意ASP后有个空格，ASP 可不等于ASP啊，所以代码里的限制就没用了。然后我们来到文件上传界面，选择一个ASP文件，先别上传。我们打开抓包工具Wsock Expert（图82），选择监控IE的上传窗口，然后回到上传界面，点击上传，提示上传失败。预料之中。我们来到Wsock Expert，找到刚才提交的数据包（图83），看到那个mm.asp没有，我们在这个后面加个空格，再用NC提交，成功上传！
4、利用表单冲突上传。用这个方法最典型的就是动力3.51的上传了。我们同样注册一个用户，来到发表文章处。切换到“源代码”模式，输入下面的代码：
<FORM name=form1 onsubmit="return check()" action=upfile_article.asp method=post encType=multipart/form-data><INPUT class=tx1 type=file name=FileName> <INPUT class=tx1 type=file name=FileName><INPUT style="BORDER-RIGHT: rgb(88,88,88) 1px double; BORDER-TOP: rgb(88,88,88) 1px double; FONT-WEIGHT: normal; FONT-SIZE: 9pt; BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT: normal; BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE: normal; FONT-VARIANT: normal" type=submit value=上传 name=Submit></FORM>
再来到“预览”模式，是不是看到了两个选择上传文件的框却只有一个上传按钮啊（图84）？我们在第一个框处选择一个ASP文件，第二个框处选择一个jpg文件，然后点上传。可能会提示冲突，但我们返回“源代码”模式，就可以看到我们上传后的Webshell地址了。
5、利用代码对文件类型的限制上传。现在许多代码为了安全都限制了上传ASP文件，但一些代码的限制方法实在令我不敢恭维。我见过有些代码的限制方式是一遇到ASP就把它去掉的。那么，我们完全可以添加一个上传类型“ASASPP”，这样一来，在上传过程中代码会把中间为ASP去掉，后缀的自然也就变为ASP的了。
6、利用其它上传工具。老兵的万能工具虽名为万能，但因为有些系统的上传代码与动网的是有差异的，所以这个工具对它就失效了。我这里还收集了别的一上上传利用专用程序。比如去缘雅境的，操作起来也十分简单，相信大家都会用的。
（2）写入过滤不完全，
因为现在许多系统都是可以用FSO功能直接写入其文件的，如果写入文件的过滤不完全，也可以直接往里写个webshell，如动易的conife.asp。这里我要讲的是leadbbs后台友情链接添加处写入webshell，我们来到后台的添加友情链接处，点“新增友情链接”（图85），然后在“网站名称处填上冰方后浪子微型ASP后门式海洋的一句话木马，其它乱填（图86），然后我们用客户端连接，成功了吧！（图87）
除了对文件写入的过滤外，还有对数据库写入的过滤。当我们暴库得知数据库后缀为ASP，但用网际快车能下载时，我们就可以确定这个数据库里不包含ASP语句，那么我们只要找到一个可以写入数据库的地方，写入一句话木马，再用客户端连接，一样可以成功的。
3、后台备分及恢复
说起后台的备分和恢复获取webshell，我可算是颇有研究，也可以说是从这里起步学习技术的，先说说常规的方法吧，一般地，我们就是把一个ASP木马改为gif后缀上传，然后记下上传后的地址，下面，我们来到数据备分页面（图88），在“数据库路径”处填自己刚才上传的文件名，在“备分后路径”处填自己想要种马的地址，注意后缀为ASP（图89），点“备分”后我们就得到了自己想要的webshell。
但是，如果像动力一样不允许定义当前数据库地址呢？一样可以的，我们通过暴库术式后台看到动力的数据库地址，因为ASP的话，我们一样可以把一个ASP木马改为gif的型式，然后上传，现在，我们来到“数据库恢复”页面，看到没有，可以自定义恢复数据库的路径（图90），我们选择我们刚才上传的文件路径，恢复（图91），恢复成功后整个系统是用不了，但我们只须直接访问数据库地址就可以得到webshell了，当然，为了不被别人发现最好还是先把数据库备分好，得到shell后再用shell恢复回去。
上面一般说的方法就是我发表的第一篇文件《利用ACCESS得到webshell一文的补充》，至此，数据备分和恢复的利用似乎完了，其实还没有，还是那个动力系统，如果我们无法得到数据库地址，或者数据是mdb的，出放到了web外，我们不就用不了上面的方法了吗？
别急，再绕个弯子，我们来仔细看看这个动力系统，备分处限制了只能备分当前的数据库，不能备分其它文件，且备分后文件后缀限为ASA，但可以自定义文件名。恢复处只能把数据恢复到当前数据库文件，如果遇上本段开头提的那三种情况，我们把一个shell恢复出来也是没用的。既然不能直接弄出来，我们就老老实实恢复一个比较正常的数据吧。说是比较正常，那是因为这个数据库虽然对系统没有影响，但还是做过一些手脚的。
我们拿一个相同系统的空数据库，把<%nodownload%>表中的内容改为一句话木马（图92），然后再在后台添加允许上传MDB文件，上传。下面到数据恢复处把刚上传的文件恢复回去，这时系统仍是正常运行的。我们重新用默认的用户名admin，密码admin888登录后，再到数据备分的地方，把数据备分出来，然后用客户端连接这个备分的文件就可以了。
对于限制没那么严的动网，我们可以直接备分就行了。虽然7.1中对备分处做了限制（图93），但恢复处可设限制（图94），条件比动力宽松多了。
4、SQL导出。对于有注入点的SQL站点，我们还可以用黑客界中的丐帮帮主——就是那个臭要饭的发明的SQL写入导出大法得到webshell，其原理是在知道网站物理路径的情况下通过往SQL数据库中写入一个带木马的表，再将这个表导出，就得到webshell了。为了不让管理人员发现，我们还要删掉这个新建的表。那个臭要饭的还专门对此写了工叫getwebshell的工具（图95），使用起来也并不复杂，我也就不再说了。

‘贰’ 怎样扫描别人的网站

壹：先找注入漏洞，在一些新闻或者文章后面加上;或者'来测试是不是返回错误，如果返回错误的时候再试空格and 1=1 和and 1=2再看返回错误是否不一样，不一样的说明存在了注入漏洞，开始用各种注入工具进行注入测试发现是ACCESS的数据库则直接暴用户名和密码来后台登陆，再找后台的漏洞看时候可以上传或写进ASP马。如果是SQL的数据库同样可以暴帐号密码，但发现SQL的权限为SA的就可以直接在对方服务器内增加ADMIN帐号SQL连接器连接即而开对方的3389端口开完全控制。

贰：找各种附带上传功能的程序，比如动力文章、蚂蚁影视、同学录等等，接下来要注册的进行注册不需要注册的可以把该上传功能保存为本地HTM文件来看是否本地限制格式，如果不是的话那就利用林子大哥做的欺骗上传的HTM或者用NC等工具来抓包进行修改然后再上传ASP马。有些程序则需要你把该程序的源代码下下来之后查看上传是否可行和上传的真确地址。

叁：利用%5c进行暴库如果是.mdb格式的则直接下载，利用数据库查看的工具进行查找帐号和密码，如果密码加密就用dv.exe进行破解只破解纯数字和纯字母！数字字母混合的实在太废时间了不推荐。如果对方数据库为.asp后缀的，那就更好办了在你能填写的信息里填写<%execute request("l")%>的代码来使数据库只执行这个代码就可以用蓝屏大叔的木马客户端来连接对方的数据库上传大的ASP马。

肆：寻找网站各种程序后台，程序越多越好，登陆时先用 'or''=' 帐号密码来测试是否有最老的ASP漏洞，如果都不行再测试默认的帐号密码，一般均为admin或者有的密码为admin888等等。

伍：寻找动网论坛，呵呵 现在大部分都网站都用此论坛程序。动网论坛被高手称为洞网因为其漏洞实在太多了1、上传漏洞，我就不想多说了就是利用upfile.asp 2、默认数据库漏洞，很多的弱智管理员都不改数据库名称的在data/dvbbs7.mdb就可以把数据库下载下来了，再加上dv_log表段看帐号密码使得动网论坛的数据库加密行同虚设。3、虚拟形象插件漏洞，里面同样存在上传漏洞利用方式和upfile.asp一样。4、下载中心插件漏洞，一样的上传漏洞利用方式。5、数据库备份默认地址漏洞，有些管理员改了数据库的地址，但是由于疏忽而没改备份后的数据库路径地址存在于databackup/dvbbs7.mdb下载下来后和上面第2条用法一样。（有许多的论坛都存在漏洞比如Discuz2.2F等等。。）

陆：各种留言本或日记存在默认数据库漏洞，因为是个小程序所以改的人也不是很多。只要下载该程序下来就可以知道数据库地址了。也有很多别的办法可以知道数据库地址，如：暴库、查看conn.asp的源文件、还有就是利用该程序管理员的疏忽 就是在地址后面打上（程序说明.txt、说明.txt、readme.txt等等）自然就会告诉你它的默认地址了^ ^找到了地址之后可以利用获得的管理员密码来破该站所在的别的管理员密码，很管用的呦 呵呵，还有就是asp结尾的数据库大家可以参照上面的叁用蓝屏大叔的木马来入侵。

柒：利用旁注来进行入侵，有时候大家都一个站一点办法都没有，那怎么办呢？呵呵 这个站没有漏洞并不说该站所在服务器别的站也不存在漏洞，那我们就可以利用查找该服务器玉米的工具来找别的站，然后找到别的站之后再来循环上面的壹~~陆。