轻松获得oblog 2.52的WebShell

来源:邪恶八进制 作者:千寂孤城

一、方法

1、先进后台。利用CheckUserLogined漏洞直接加个后台管理员。关于这个CheckUserLogined漏洞我在《Blog的噩梦》(http://www.eviloctal.com/forum/htm_data/10/0508/13721.html)中有详细的说明,大概就是说可以通过Cookies欺骗搞SQL注入。

2、在后台的“网站信息配置”处有个“普通会员上传文件类型”,给它加一个aaaspspsp类型。

3、用个普通帐号登陆,来到上传文件的页面http://blog.***.com/upload.asp,看到了吗?可上传文件多了个“aaspsp”类型。好,把你的马x.asp改名为x.aaspsp,然后传上去。

4、到你自己的blog后台去看一看,是不是成功上传了x.asp了?:)

二、原理

本来刚开始我是直接在后台的“普通会员上传文件类型”里加了个“|asp”,结果发现上传失败。于是去Down个oBlog 2.52下来。读了读upload.asp的代码,大家一起看看:

'初始化上传限制数据

Sub InitUpload()

……

Select Case cint(DecodeCookie(Request.Cookies(cookiesname)("userlevel")))

Case 7

if rs("upfile_user")="true" then

themax=round(user_maxsize-theuped/1024)

sAllowExt = rs("upfile_user_type") '注意这里,得到我们在后台设置的可上传文件的类型,放入sAllowExt变量中

if themax>rs("upfile_user_size") then

nAllowSize = rs("upfile_user_size")

else

nAllowSize = themax

end if

else

sAllowExt = "暂无上传权限"

nAllowSize = 0

end if

……

End Select

sAllowExt = filtfilename(sAllowExt) '这里是对sAllowExt进行检查

……

End Sub

以上代码是说如果是普通用户,那么就给字符串sAllowExt赋值为我们在后台设定的那个“普通会员上传文件类型”:jpg|png|bmp|rar|zip|asp。但是请注意,sAllowExt然后还必须经过filtfilename()的检查。再接着看:

'保存操作

Sub DoSave()

Set oFile = oUpload.File("uploadfile")

sFileExt = UCase(oFile.FileExt)

osize = oFile.Filesize

Call CheckValidExt(sFileExt) '检查文件扩展名是不是sAllowExt里有的

sFileExt=filtfilename(sFileExt) '哎,filtfilename又来了

……

oFile.SaveToFile Server.Mappath(sUploadDir & "/"& sFileName)

……

End Sub

以上代码就是说文件扩展名必须是sAllowExt里有的然后才能上传。上传后保存到目标计算机上时扩展名还要被filtfilename过滤一次。那么那个filtfilename到底是什么东西呢?我们看看:

Function filtfilename(filename)

If IsEmpty(filename) Then Exit Function

filename = Lcase(filename)

filename = Replace(filename,Chr(0),"")

filename = Replace(filename,".","")

filename = Replace(filename,"asp","")

filename = Replace(filename,"asa","")

filename = Replace(filename,"aspx","")

filename = Replace(filename,"cer","")

filename = Replace(filename,"cdx","")

filename = Replace(filename,"htr","")

filename = Replace(filename,"asax","")

filename = Replace(filename,"ascx","")

filename = Replace(filename,"ashx","")

filename = Replace(filename,"asmx","")

filename = Replace(filename,"axd","")

filename = Replace(filename,"vsdiso","")

filename = Replace(filename,"rem","")

filename = Replace(filename,"soap","")

filename = Replace(filename,"config","")

filename = Replace(filename,"cs","")

filename = Replace(filename,"csproj","")

filename = Replace(filename,"vb","")

filename = Replace(filename,"vbproj","")

filename = Replace(filename,"webinfo","")

filename = Replace(filename,"licx","")

filename = Replace(filename,"resx","")

filename = Replace(filename,"resou","")

filename = Replace(filename,"jsp","")

filename = Replace(filename,"php","")

filename = Replace(filename,"cgi","")

filtfilename=filename

End Function

是过滤函数,害我们不成功的就是这个东西。

(0)

相关推荐

  • 利用Session欺骗构造最隐蔽的WebShell

    不知不觉"LM团伙"看黑防已有两个春秋了,期期不落.潜心修炼了这么久,也能开始耍上一两招了.看了黑防第二期的<DreamWeaver引发网络危机>一文,"LM团伙"内心有说不出的激动,心想网上有40%的网页都有这样的漏洞,那岂不是又能收获N多肉鸡了.可是仔细研究发现,这个文章的方法存在一些问题,并不像想象中的那样容易发挥.下面就与大家一起讨论一下Session. 既然是谈Session欺骗,那么就先来看一下Session到底是什么,它是怎么工作的.在AS

  • 获得leadbbs论坛站webshell后进后台最简便之法

    本文已经发表于<黑客手册>(非安全)杂志上,版权归其所有!转载注名! 其实ASP论坛中,我最喜欢就是leadbbs,稳定.速度快,占的空间也不大,比起庞大的DVBBS可小多了,说起安全来,它也很不错的,虽然在早版本里有过可以修改管理员密码的漏洞(俗称移花接木),但是从那至今它的安全性还是非常可以让大家肯定的,可能你会说前几天开始闹cookie欺骗漏洞呢,但是这最多也只是进了前台,后台一般还是无能为力的,高手在其面前也不得不服啊.呵呵,上面是题外话,今天我不是详说它安全性的,{www.xker.

  • Webshell是如何绕过防火墙提升权限的

    本文讲的重点是webshell权限的提升和绕过防火墙,高手勿笑. 废话少说,咱们进入正题. 首先确定一下目标:http://www.sun***.com ,常见的虚拟主机.利用Upfile的漏洞相信大家获得webshell不难.我们这次获得这个webshell,不是DVBBS,而是自由动力3.6的软件上传过滤不严.网站http://www.sun***.com/lemon/Index.asp是自由动力3.6文章系统.Xr运用WinHex.exe和WSockExpert.exe上传一个网页木马ne

  • 一个ASP.Net下的WebShell实例

    代码如下: 复制代码 代码如下: <%@ Page Language="C#" AutoEventWireup="true" %><%@ Import Namespace="System.Runtime.InteropServices" %><%@ Import Namespace="System.IO" %><%@ Import Namespace="System.Data

  • 轻松获得oblog 2.52的WebShell

    来源:邪恶八进制 作者:千寂孤城 一.方法 1.先进后台.利用CheckUserLogined漏洞直接加个后台管理员.关于这个CheckUserLogined漏洞我在<Blog的噩梦>(http://www.eviloctal.com/forum/htm_data/10/0508/13721.html)中有详细的说明,大概就是说可以通过Cookies欺骗搞SQL注入. 2.在后台的"网站信息配置"处有个"普通会员上传文件类型",给它加一个aaaspsps

  • O-blog漏洞暴光

    ps:郁闷纳,一个整形变量,为什么不做一强制转换呢! 看过第六轮黑防实验室的两位大侠对Oblog3.0 Access版本的渗透过程,敬佩之情犹如滔滔江水连绵不绝,又如黄河之水一发而不可收拾,尤其是他们把社会工程学原理利用得淋漓尽致,以及巧妙的后台上传shell的方法.佩服,佩服.说了这么多废话,我们进入正题,本人在通读Oblog3.0代码的时候发现user_blogmanage.asp文件存在安全隐患,看看下面移动blog日志的操作代码: sub moveblog() if id=""

  • 进一步取得MirCms传奇私服的WebShell

    在黑防的2005年第6期中,小狮子写了关于MirCms中投票子系统的漏洞,阅读以后觉得该系统既然存在像登录验证错误这样的漏洞就应该还存在其他的可以更进一步利用的漏洞.本文就利用该系统中的这些漏洞取得其WebShell. 一.取得管理员账号和密码. 网站根目录下的yns_tupdata.asp中存在SQL注入漏洞,我们利用其可以获取管理员的账号和密码,看下面的代码片断. If (Request.QueryString("t_id") <> "") Then

  • 浅谈一次与sql注入 & webshell 的美丽“邂逅”

    引言 一波未平,一波又起.金融公司的业务实在是太引人耳目,何况我们公司的业处正处于风口之上(区块链金融),并且每天有大量现金交易,所以不知道有多少躲在暗处一直在盯着你的系统,让你防不胜防,并且想方设法的找到突破点,以达到的目的来获取非法利益. 俗话说:"道高一尺,魔高一丈".系统和代码也可以这么理解,防的在好,总有漏洞.系统和代码也没有绝对的安全.该来的总会来...... sql注入与"她"相遇 某一天,天气晴朗,心情舒畅."她"来了,打破了笔者

  • PHP常见过waf webshell以及最简单的检测方法

    前言 之前在Webshell查杀的新思路中留了一个坑 ️,当时没有找到具体找到全部变量的方法,后来通过学习找到了个打印全部量的方法,并再次学习了下PHP webshell绕过WAF的方法,以此来验证下此方法是否合理. 如有错误,还请指出,不胜感激! :turtle:拜 在那篇文章中我突然想到一种检测webshell的方法,就是首先获取到当前文件中的所有变量(不明白的可以先去看下之前的文章),然后再根据正则库进行静态检测. 自认为这种方法虽然会检测不完全(每个检测机制都不能保障全部有效),但是感觉

  • SpringBoot轻松整合MongoDB的全过程记录

    前言 MongoDB 是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的. 提示:以下是本篇文章正文内容,下面案例可供参考 一.技术介绍 1.MongoDB是什么? MongoDB(来自于英文单词"Humongous",中文含义为"庞大")是可以应用于各种规模的企业.各个行业以及各类应用程序的开源数据库.作为一个适用于敏捷开发的数据库,MongoDB的数据模式可以随着应用程序的发展而灵活地更新.与此同时,它也为开发人员 提供

  • redis轻松处理经纬度坐标点数据的实现方法

    目录 1. GEOADD 2. GEOPOS 3. GEODIST 4. GEORADIUS 5. GEORADIUSBYMEMBER Redis 3.2 之后,支持地理坐标数据的管理.将给定的坐标元素(纬度.经度.名字)添加到指定的键里面. 这些数据就会以有序集合的形式被储, 可以通过GEORADIUS 计算两个坐标点的距离,或者使用GEORADIUS 和 GEORADIUSBYMEMBER查询某个坐标半径内的数据.下面对其中常用的命令进行一个简单的介绍. 1. GEOADD 将坐标信息添加到

  • Python 轻松实现可视化大屏

    提到数据可视化,我们会想到 Plotly.Matplotlib.Pyecharts等可视化库,或者一些商用软件Tableau.FineBI等等.如果你希望操作更简单.展现效果更强大,那么这款工具 big_screen 更适合你了. 本文介绍具体如下: big_screen 特点 安装环境 输入数据 结果展示 在线部署 代码领取 big_screen 特点 便利性工具, 结构简单, 你只需传数据就可以实现数据大屏展示. 安装环境 pip install -i https://pypi.tuna.t

  • Golang+Vue轻松构建Web应用的方法步骤

    目录 介绍 项目结构 后端结构 前端结构 一些细节 为什么使用JWT 缓存实现 请求限流 从零开发前端 运行 总结 最近疫情在家,空闲时间比较多,整理下之前写的Golang项目Weave,补充了一些功能,加了前端实现.作为一个Web应用模板,也算是功能比较齐全了,现将开发过程中遇到的一些问题.项目特性总结下. 介绍 Weave是一个基于Go+Vue实现的Web应用模板,支持前后端,拥有完整的认证.存储.Restful API等功能. 后端基于Golang开发,主要特性如下: Restful AP

随机推荐