记一次NC改包拿SHELL

前沿：

          因为看中了一份装饰网的源码，所以想要份源码，于是就有了下面的文章：

一：先简单分析下网站

asp的，网站做的很大方，简洁，这也是我喜欢的原因

手工加了个单引号'页面发生跳转，明显的做过过滤了，又翻了几个ID链接，仍旧如此。于是注入就放掉。

后台弱口令，admin/admin, 'or'='or'/'or'='or',   admin/admin888,等测试了一般的都没用。呵呵，看来得详细搜集下网站信息了，那就先看下网站的目录结构吧：

二：网站目录结构

看下扫描结果：

Connecting 210.51.*.*:80... Succeed!
Trying To Get Server Type... Succeed!
Server Type: Microsoft-IIS/6.0
Testing If There Is A Default Turning Page... Not

Found: /admin/ (HTTP/1.1 200 OK) !!!
Found: /admin/manage/ (HTTP/1.1 403 Forbidden)
Found: /../admin/login/ !!!
Found: /upload/ (HTTP/1.1 403 Forbidden) !!!
Found: /index.htm (HTTP/1.1 200 OK) !!!
Found: /index1.asp (HTTP/1.1 200 OK) !!!
Found: /../admin/ !!!
Found: /admin/index.asp (HTTP/1.1 200 OK) !!!
Found: /news/ (HTTP/1.1 403 Forbidden) !!!
Found: /editor/admin_login.asp (HTTP/1.1 200 OK)
Found: /editor/ (HTTP/1.1 403 Forbidden) !!!
Found: /editor/db/ (HTTP/1.1 403 Forbidden) !!!
Found: /editor/upload.asp (HTTP/1.1 200 OK) !!!
Found: /editor/db/ewebeditor.mdb (HTTP/1.1 200 O
Found: /admin/manage.asp (HTTP/1.1 200 OK) !!!
Found: /admin/ (HTTP/1.1 200 OK) !!!
Found: /admin/ (HTTP/1.1 200 OK) !!!
Found: /Editor/ (HTTP/1.1 403 Forbidden) !!!
Found: /Inc/ (HTTP/1.1 403 Forbidden) !!!
Found: /News/ (HTTP/1.1 403 Forbidden) !!!
Found: /common/ (HTTP/1.1 403 Forbidden) !!!
Found: /data/ (HTTP/1.1 403 Forbidden) !!!
Found: /pic/ (HTTP/1.1 403 Forbidden) !!!
Found: /service/ (HTTP/1.1 403 Forbidden) !!!

三：简单分析利用信息

貌似很多可利用的信息：

我们逐步分析：

（1）

/admin/

/admin/index.asp

/admin/manage.asp

这几个是后台页面，因为搞不到密码，后台就前不提了

（2） /upload/

这个里面一般是上传的图片文件，所以也没什么利用信息

(3)editor/admin_login.asp

编辑器管理登陆页面，可以测试下默认密码是否可以登录，不过现在很多站防范措施很好，都不是默认的了

（4）/editor/db/ewebeditor.mdb

编辑器数据库，可以下载下来查找登录密码，这里我们可以下载下来，但密码暂时破不了。

路到这暂时断了，该如何呢？？？

四：发现利用信息：

再次把以上的信息分析了下：

发现了利用信息

admin/manage.asp

这一页面可能没有严密的验证，导致这一进入后台管理页面：如图：

但是我在后台找拿SHELL方法时，也有局限性，因为有些页面经过session验证，导致我们无法访问

譬如：譬如添加图片等页面，它会跳转到后台登陆页面，不过在修改文章处，可以正常进入上传页面：

五：重点之NC巧妙改包，拿下SHELL

如图上传页面：

我们按常规的抓包，改包来测试下

发现有上传路径，想着应该很容易搞定：

下面简单改包：

路径后面加几个字符：

2 .asp    后面有个空格，别忘了，呵呵
完整的为：http://www.cnblogs.com/../UploadFiles/Product/2.asp 
Content-Length: 4279

长度需要改下：

因为加了6个字符，所以再加6，那就是：

Content-Length: 4286

下面我们用十六进制编辑器改下那个空格，2改为0

修改前

修改后

然后就是提交包了

提交后的结果如图：

这是为什么呢，我们来看前面，上传那个图片

http://www.cnblogs.com/../UploadFiles/Product/_2009101810505991000.jpg

我们上传图片后，他自动为生成一个前带下划线的图片文件，

那我们如何突破呢，

思考了下，还是利用IIS解析漏洞吧，我们把包数据改下：

/http://www.cnblogs.com/UploadFiles/Product/2.asp;

倘若我们直接在后面加个分号，那我们上传后地址会不会变为：

/http://www.cnblogs.com/UploadFiles/Product/2.asp; _xxxxxxx.jpg 呢，这不正是IIS解析漏洞所以利用呢，原理感觉很是正确

光想不行，还得实战测试

呵呵，理想的效果出现

立即访问小马地址

就这样搞定：

六：拓展思路测试：

经过再次思考，测试，如果IIS解析漏洞用不了，那怎么办呢！

于是我们再改下包，

/http://www.cnblogs.com/UploadFiles/Product/2.asp
2.asp 后面我们不加分号了，加两个空格，

我们提交看看效果：

OK,呵呵,理想的马儿.

可以正常访问：

七：结语：

测试到这，只为源码，不为别的