动网8.1后台获取Webshell的详细方法

此文章已发表在《黑客X档案》2008年第2期杂志上后经作者发布在博客上，如转载请务必保留此信息！
文章难易度：★★★
文章阅读点：动网8.1后台获取Webshell的详细方法
话说这期公布了一个动网8.1的最新注入漏洞，利用该漏洞可以轻松得到管理员密码的MD5值，进而查询密码明文进入后台。不过至于进了后台怎么拿 Webshell就没有介绍，本文将详细讲述动网8.1论坛后台获取Webshell的方法。动网虽然一直“洞”不断，不过8.1版本明显在后台安全方面比以前的版本加强了一些，甚至让不少朋友觉得“动网8.1终结了后台获取Webshell的可能”。其实不然，8.1后台一样可以得到Webshell，不过和8.0的有点不同。

一、后台备份
标题咋一看是老套路，但是如果你按照8.0的方法来试的话，结果会让你很失望的。此方法需要满足两个条件：
（1）、IIS6.0；
（2）、论坛可以执行上传及数据备份等操作。
要执行数据备份的前提，当然是你已经得到了管理员的用户名及密码，成功进入了后台才成立了。虽然利用的依然是IIS6.0的缺陷，不过与8.0的拿法有不同之处，主要表现有如下几点：
1、备份论坛数据页面的“当前数据库路径”不可更改；
2、备份论坛数据页面的“备份数据库目录”不允许出现.asp字符；
3、恢复论坛数据页面的“目标数据库路径”不可更改；
4、用空数据库合并的文件恢复会导致论坛出错，后续的备份操作无法完成。

我们来分析一下以上的限制条件，1、3是没办法突破了，因为这是程序锁死了的，无法更改了。其实之前我和朋友有试过把备份和恢复数据页面里面的 disabled="disabled"去掉，再本地保存为htm文件，再提交相关操作。不过事实证明这样做完全没有任何用处，因为动网限定了这两处为定值，不管你提交什么它都按照事先设定的值来读，所以这两点没办法突破。然后就是第2点，不允许出现.asp字符，咋一看以为真的封死了。

可是从动网的代码发现只是限制了.asp，那我们就有机可乘了，目录不用.asp可以用.asa嘛，在IIS6.0下一样可以解析执行的！至于第4点，我们就需要变通一下了。从代码得知需要保留动网默认数据库里的一个表段Dv_TableList才不会影响到恢复后的备份操作，至于我们的主角一句话ASP马就可以插在这个 Dv_TableList表里面！为什么老说“恢复后的备份操作”呢？这是为了绕过1、3的限制，先将含有Dv_TableList表段（内插一句话 ASP马）的数据库改扩展为.txt后上传，然后利用“恢复论坛数据”功能把它恢复到/data/dvbbs8.mdb这个位置，接着再利用“备份论坛数据”功能将带马的文件备份到一个x.asa文件夹里，因为路径不可更改，只能顺着程序走了，让程序读自己的默认值来备份。说白了就是给动网来个“偷天换日”，把它原本以为正常的数据库文件换成我们带马的文件。这样就可以很巧妙的绕过上面所提及的四点限制了，至于（1）、（2）这两个硬伤就实在是回天无力了！

啰嗦了半天，菜菜可能头都大了，那我们再依照上面的描述操作一遍就简单明了咯。首先，我们要“制造”一个符合需求的.mdb文件：
1、把Data目录下的Dvbbs8.mdb复制出来，删掉除Dv_TableList以外的所有表段，如图1；
2、在TableType字段里插入数据，内容为一句话ASP马★★，如图2；

图1

图2
光这样还是不行的，因为即使数据库里只剩下一个表段，但体积依然比较惊人（大小为：2.04M）。这个体积远远超出了Windows 2003 默认不允许上传大于200K文件的限制！所以我们要把它变小点，让它变小的办法就是将它“转为Access 97 文件格式”（Dvbbs8.mdb是Access 2000格式的）如图3。

图3
“变身”后的Dvbbs8.mdb现在苗条很多了，大小仅为68K，符合要求了。然后我们把Dvbbs8.mdb改为Dvbbs8.txt（就是把扩展名. mdb改为.txt），这样做的目的是为了可以顺利上传。因为动网不允许上传.mdb文件（除非后台添加，不过多此一举），但允许上传.txt文件。

[1] [2] [3] 下一页