对补了上传漏洞的动力文章的突破

对补了上传漏洞的动力文章的突破 ——文/图 KYO 关于动力文章系统，我想大家对上传漏洞已经很熟悉了，不过就是因为这个漏洞被N多人都知道了，当然也包括管理员，所以使用这个程序的站长们大多都会补上这个漏洞。要是不想让网友上传东西可以删除Upfile_Soft.asp这个文件，或者删除asp.dll多余的cer cdx htr映射，并且懂ASP程序改下Upfile_Soft.asp的代码也可以，那么我们就不能利用了。 *************************************************************** 这里插播个广告，黑友们请无视，只是为朋友的网站能被搜索引擎收录，多加点流量。 http://www.taotao520.net 返利网,淘你喜欢,淘宝返利,淘宝返现购物。 *************************************************************** 在我帮朋友拿一个站的权限的时候，我遇到了这种问，由于那个站是大站，不好拿出来做实验，我就在本机搭建和他差不多的环境来测试，并且写出我突破的思路。 在浏览器直接请求http://127.0.0.1/wz/inc/conn.asp，暴出数据库路径，如图1 记得要在internet选项——高级——显示友好HTTP错误信息前面打勾哦。拿到路径后用向浏览器请求http://127.0.0.1/wz/database/cyacnitt.asp，出现Script 块缺少脚本关闭标记 (% >) 。 说明数据库建立了防下载。测试上传漏洞也没有用。这样就是那个游戏站的大致环境。不过http://127.0.0.1/wz/Article_Print.asp?ArticleID=1这个页面存在SQL注入漏洞，也就是那个打印页面。只是得到密码是MD5，当然还是只能暴力破解。总之我是顺利破出来了，好象我很幸运哦。这样打开http://127.0.0.1/wz/admin_login.asp我就进入了后台管理页面。如图2 我们看到FSO文本读写是打开的，就说明是可以备份数据库的，想从后台得到一个WEBSHELL思路一般都是通过数据库备份功能改后缀名。可让我们感到郁闷的是，这个后台备份数据库没有原地址的如下图3： 通过看下面一段源代码，才知道恢复数据库功能可以指定地址的，并且指定的地址会默认恢复成database里面设置的数据库名。 sub RestoreData() dim backpath,fso backpath=request.form("backpath") if backpath="" then FoundErr=True ErrMsg=ErrMsg & "

请指定原备份的数据库文件名！

" exit sub end if backpath=server.mappath(backpath) Set Fso=server.createobject("scripting.filesystemobject") if fso.fileexists(backpath) then fso.copyfile Backpath,Dbpath response.write "成功恢复数据！" else response.write "找不到指定的备份文件！" end if end sub 所以这里我想说一下，只有数据库后缀是asp的话，我们才能成功得到WEBSHELL。看到这里还想什么，把我的ASP木马后缀改为jpg先上传，得到地址，然后把这个地址写到恢复数据库的地址栏里，如图4 *************************************************************** 这里插播个广告，黑友们请无视，只是为朋友的网站能被搜索引擎收录，多加点流量。 http://www.taotao520.net 返利网,淘你喜欢,淘宝返利,淘宝返现购物。 *************************************************************** 然后点恢复数据，那么我们的WEBSHELL就得到了，并且就是数据库的地址，即http://127.0.0.1/wz/database/cyacnitt.asp，打开这个地址看看吧！ 想干什么还不简单吗？另外我在这里要说两句。在做这一系列工作的时候，要记得先备份他的数据库，不然他的数据库就变成我们的WEBSHELL当然也就垮掉了。很容易被管理员发现的。我们有了WEBSHELL以后在其他目录再写一个SHELL，接着把备份的数据库复制到DATABASE目录，这样事情就完美了。写到这里也就结束了，只是想告诉喜欢玩黑的朋友们，多多实践才会有很多新的发现哦！