发新话题
打印

[转载]6KBBS上传漏洞攻击步骤

[转载]6KBBS上传漏洞攻击步骤

信息来源:华夏黑客同盟

1.注册ID进入发贴页面  查看文件原代码

   <input type="hidden" name="filepath" value="">
   <input type="hidden" name="act" value="upload">
    文件:
   <input type="file" name="file1" size=10>
   <input type="submit" name="Submit" value="上传"
   这是文件上传漏洞的特点,关键就在于filepath变量

2.上传一个ASP木马(/mao.asp) 然后进行WSockExper抓包

3.将两个包包(不是宝宝!嘻嘻~~~)保存为 mao.txt  然后用UltrEdit编辑。
  
  在Content-Disposition: form-data; name="filepath"后面第2行输入刚才那个ASP(/mao.asp)的名字
  将 mao.asp该为 mao.gif (其实就是做一个欺骗~!HOHO~~!)
  光标移动到(/mao.asp)后面空一个空格,点编辑-->HEX功能-->HEX编辑:在OD前把20该为00 后保存

4.用NC来发送文件     nc www.sxjcxx.com 80<mao.txt 文件上传成功 :)

5.在这里我们可以传自己的马了!将路径里的ASP修改一个名字 就可以了 呵呵~~

让我们来看是不是传上去了 呵呵 传上去了也

请勿用本教程进行破坏活动,后果自负!

在此感谢 firstsee指导

动画下载
http://www.77169.org/donghua/hole/200406/5033.html
qq310926是我唯一用号,除此之外有其他号码号自称邪八冰血封情,则非本人。

TOP

发新话题