在7月28日早上,偶就和好友天使娃娃拿到了WebShell,也许很多人会奇怪我们是怎么拿到的, 其实这里也没什么高深的, 大家都应该可以猜到,用的是跨站攻击。 在入侵任何的时候，最重要的是思路，只有思路正确了， 才可以用最快的速度做自己想做的事情，偶和其他人一样， 刚刚进第二关的时候，就开始试爆库， 当所有的爆库方法都试完了，我就开始看Oblog3的代码，看完了一次以后， 而且主要看的时候连接代码， 还有上传部分，注入方面漏洞方面，我几乎都没看，至于为什么呢？ 因为，你们想想，就算找到注入漏洞又能干什么呢？拿到md5密码？ 谁不知道wtf那个BT的家伙密码会有多BT啊！ (wtf不要打偶)开100台， 挂个三年五年的，都不一定可以破解出来， 所以说就算找到注入漏洞都没有什么意义，直接跳过去了。当看完一次代码， 发现上传的地方和有关数据库的地方， 都过滤得很严格，不可能有什么可利用的机会，这样子的话！ 只能会最后一招了，跨站攻击！结果成功了。 欺骗进入后台 & 读者应该会骂吧。那个wtf为什么不中自己的恶意代码,为什么偏偏会中偶Andyower的，其实嘛， 这不是偏心不偏心的问题，我和天使娃娃能成功， 完全是靠了社会工程学的缘故。也就是说，从wtf进的网站开始， 他的一举一动都是在我们的预料之下了。 先说说那个跨站漏洞，Oblog3有很多跨站漏洞,这就不用说了吧。 可是真正要想跨站有利用价值，必须得让登录后台， 再登录网站，然后访问你发的有跨站漏洞的恶意帖子，这样， 跨站代码才会发挥出他的威力，因为后台的验证，是完全靠SESSION。 但是想想，这可能吗？实验室开了那么多回了，wtf也不会笨到明明知道网站上每一个帖子都会有陷阱， 还去中，那是不可能的。 wtf最多就会登录前台去看我们的帖子，可前台的权限非常的小， 根本做不了什么，只能想办法让他放松警惕， 在不知不觉中，进了后台，就上了当，还乐呵呵的。 现在要想的是，怎么让wtf去点自己的帖子，方法有很多， 当偶刚刚把恶意跨站代码研究出来的时候，就和天使娃娃在考虑这个问题。 第一，发很多乱七八招的帖子，比如说sex的，还有恐吓wtf的，同时，我们还考虑了一个问题， Oblog有前台管理管理员，前台管理员可以删除任何的帖子， 如果我们这样发这些东西，wtf最多就把我们发的东西删除了，绝对逼不了他进后台， 可是我们要的就是他先进后台，然后再从后台进前台， 乖乖的点我们的含有恶意代码的帖子。现在要想的就是，怎么把wtf给激怒，但是要激怒他， 就要做得有点绝，让他气得怎么要删除偶的账号， 因为前台是根本没权限删除我们的账号，除非进后台。 法**大法,应该大家还有印象吧！其他的帖子请不到wtf，那么法**大法的帖子呢？偶马上注册了个用户名是Andyowen， blog名为&法**大法&,为什么这样做 ，因为在首页里，看见别人发的帖子，署名都是用blog名，而不是用户名， 想要通过blog名知道用户名，必须得点帖子进去看， 才会知道。所以现在开始预想和猜测：而当wtf看见法**大法的帖子的时候， 第一反应，就是气愤，第二反应， 就是把这个用户删除，于是，一气愤之下， 马上用当前的访问着首页的进入后台，进入了后台以后，才发现一个很严重的问题， 找不到这个用户的名字，因为偶注册的名字是Andyowen, 而他看见的却只是&法**大法&这个用户，这个时候，怎么办，又要进前台去看了， 进入那个帖子，找到都的真正用户名，把偶删除。可是进前台又麻烦 ，经常上网的人一定知道一个Ctrl+n, 这个快捷键的功能是，打开一个与当前浏览器一模一样的新的窗口 （网址一样，就连SESSION都copy过来的）。于是，wtf就用新开的窗口进入首页， 点击含有偶的恶意代码的帖子.....偶的恶意代码的功能,是创建一个用户名为:Andyower, 密码为:111111的后台管理员。下面是具体代码： Code: [Ctrl+A Select All] 但是都把这段代码稍微的加密了一下。 (ps:由于编码的原因。原来加密的已经全部被论坛给还原了) 因为这个时候，wtf的浏览器含有正确的SESSION，可以以上的代码是绝对可以实现的。 在此想和读者说一下， 因为偶发现很多人都是直接把恶意代码插到中， 要不然就是用script,这个几乎是不可能实现的， 第一，也就是前面所说的，wtf不可能先进后台再进前台然后去点你的帖子， 第一点不成立。第二，哪怕wtf真的先进后台再进前台，去点你的帖子， 而恶意代码放在图片中，又是显示出个x号， 很明显就是个跨站代码，他是不可能会再去点。有的人用的是， 这个可以不用的最好要用 ，因为 XP 和Windows2003都有一个过滤的功能，为了防止有恶意的javascript,所以， 遇到有脚本的，都会拦截下来。 除非用户自己去点一下，让它执行，但这个不太现实。 这也是为什么很多人没有实现跨站的一个原因吧。 当然了，前面的那一段wtf点偶的恶意代码，只是预想，但是八九不离十了，为了防止漏掉每一个机会， 天使娃娃又发了很多含有恶意代码的帖子， 那个时候已经快到早上了，睡觉吧，就等着第二天，进后台， 再想办法提升权限。就等wtf乖乖的中我们的连环计，然后还会乐呵呵的说，终于又为民除了一害。高兴&& 等偶睡醒的时候，已经12点，马上登录实验室的Oblog后台,用账号Andyower，密码:111111,登录。 结果登录成功，虽然这是预料中的事情 但是还是很兴奋，马上打了个给天使娃娃， 让他起床，然后一起想下一步怎么做。如图1所示。& 偶不知道有哪个牛人先把数据库暴出来，并且下载（个人觉得不可能， 因为偶得到WebShell才下载到数据库，就连得到后台的时候， 都没办法下载）。但是本人一定是第一个成功进入添加管理员进入后台的。看序号就知道了， 至于为什么，懂得SQL的人一定会知道。 拿WebShell的艰难路程 &? 进入后台以后，我们也不慌了，第一个想到的，在数据库插入一句话木马， 然后加入容错语句拿到WebShell，然后试了很多很多次，都没有成功， 放弃这条路，都不知道wtf在数据库加了什么东西， 而且以前我也没成功过。还有想把数据库保存成为其他格式也不可能，看下面的代码： &??? fso.copyfile dbpath,bkfolder & &\& & bkdbname & &.asa& &??? response.write & 备份数据库成功，备份的数据库为 & & bkfolder & &\& & bkdbname & &.asa& &??? Else &??? response.write & 找不到源数据库文件，请检查inc/conn.asp中的配置。& 备份成其他格式是不可能的，已经强制文件的后缀为asa。然后开始打上传图片的的主意， 先看一下过滤后缀名的代码: Code: &??FixName = Replace(FixName,Chr(0),&&)??? ' 把 ASCII码的 0 给过滤，直接封杀了上传漏洞 &??FixName = Replace(FixName,&.&,&&)?? '??? 过滤?.?? &??FixName = Replace(FixName,&'&,&&)?? '???? 过滤??? ' &??FixName = Replace(FixName,&asp&,&&)??? '???? 过滤??? asp &??FixName = Replace(FixName,&asa&,&&)??? '???? 过滤??? asa &??FixName = Replace(FixName,&aspx&,&&)??? '???? 过滤??? aspx &??FixName = Replace(FixName,&cer&,&&)??? '???? 过滤??? cer &??FixName = Replace(FixName,&cdx&,&&)??? '???? 过滤??? cdx &??FixName = Replace(FixName,&htr&,&&)??? '???? 过滤??? htr &??FixName = Replace(FixName,&shtml&,&&)??? '???? 过滤??? shtml [Ctrl+A Select All] 过滤得蛮BT的,而且这还不算，下面还有最后的把关: Code: &??If FileExt=&asp& or FileExt=&asa& or FileExt=&aspx& or FileExt=&shtml& Then &????? CheckFileExt = False &????? Exit Function [Ctrl+A Select All] 当初想过用种方法来欺骗程序，结果，显示是显示上传成功了，但是实际上没有上传到， 至于原因。偶没有仔细去看。 欺骗方法也说一下，也许以后会有用的地方：?? 在后台那添加类型 cer|ccerer,添加多这两种类型， 关于ccerer这种方法，以前有人提出来过，偶也来说说。 如果只是添加ccerer这种类型,然后把1.ccerer进行上传，看代码： FixName = Replace(FixName,&cer&,&&) 这个时候因为1.ccerer中的后缀包含有cer，所以会被过滤，也就变成了1.cer， 接着程序会把当前的文件的后缀和允许的后缀进行比较，如果存在，就上传成功，如果不存在，上传失败， 假设不添加多一个cer类型是不可能成功的， 因为根本过不了最后的验证那关。 接着，马上又打起shtm还有stm后缀的的主意，因为shtm还有stm和shtml是一样的，都是由ssinc.dll来解析，只要加入代码： 就可以直接把conn.asp文件的内容显示出来了， 不过要右键查看才可以看见。 开始在后台添加类型 shtm|stm，上传的时候 也是显示成功，但是访问却访问不了，说文件不存在， 顿时心马上凉了。被杀是不可能的，莫非是Windows2003的IIS6吗？ 因为IIS6如果不开启未知cgi后缀解析， 显示的就是出现文件不存在！ 马上拿出扫描器一顿狂扫， 发现开了3389，登录去看看到底是什么系统，没有错就是Windows2003， 接着偶马上又把所有用aspnet_isapi.dll解析的 后缀全部上传测试一次，全部都不能解析！ 文件的确是已经成功的上传，但是由于IIS6的机制，加上wtf那个BT的家伙的设置， 完全封杀了一般经常用的上传WebShell的方法。 &? 绝处逢生 在我非常的郁闷的时候，脑子闪过无数的办法， 但是一样样都被否定了。这时天使娃娃给我发条消息说： &往数据库里面插木马呀！&这个办法我早就试过了， 但是能实现，突然灵光一闪！数据库不是不能下载吗？也不能插马！ 就是因为备份后缀是asa，而且数据库做了防下载的处理！ 默认的Oblog3的初始化数据库里面做了防下载的处理。 但是我可以伪造！伪造一个数据库。伪造的数据库里有偶的一句话木马，然后上传，备份数据库， 恢复数据库，再备份数据库，再恢复数据库， 是不是头晕啦，没事，偶会好好解释一下的。 为了防止伪造的数据库文件上传了以后，在恢复数据库的时候不能用，所以必须得用真正的数据库， 也就是Oblog3.mdb文件，偶把Oblog3的程序全部下载回来， 然后找到Oblog3.mdb文件，用WinHex打开，或者其他的16进制打开都可以，查找所有的 &数据库文件当成了asp解析。结果在数据库中查找到一句 && ，难怪会不能下载，就是他了。用 一句话木马来替换了 &&&。 替换完了以后，再查找，发现已经没有&&， 马上通过相册上传，结果没有上传成功， 因为数据库文件太大，900k，用了各种数据库压缩的办法都不能把他压缩， 实在没办法了，我来帮他减肥， 把里面所有的表全部删除，就留下Oblog_admin表 因为进后台要到的功能也就是备份数据库， 还有验证管理员密码功能，其他的根本用不到。 把其他字段都删除了以后，再用数据库压缩工具再压缩一次，因为数据库内容改变， 无论是删除还修改，大小都不会变的， 它只有变大，不会变小。压缩完了以后，才100多k,把名字改成1.gif， 马上到相册那上传，上传成功，得到文件在的路径是&user1\23\upload\.gif&, 把路径记录一下。等一下要用的。 再进入后台，备份数据库，因为当前的目录都不能写， 就写到刚刚的那个目录吧，开始备份，得到路径:&user1\15\upload\1.asa&, 然后，恢复数据库， 恢复的路径文件为:&user1\23\upload\.gif& ,这个文件是我上传上去的， 绝对没有问题，可以进后台，但是这个时候，网站进不去，因为其他的表我都删除了， 他们访问的时候当然会出错了，所以这就是为什么我 选择凌晨3点多的时候才弄，就是怕影响到其他的人。 虽然过程只有短短不到1分钟的时间。恢复完数据库以后，要求重新登录. 当然了，因为我上传的那个数据库和原来的数据库密码不同，我用的是默认数据库, 账号:admin，密码:admin888，登录进去以后， 到了关键的地方了，当时我的手都抖了，读者要应该知道，现在偶登录的后台， 用的数据库，是偶上传的那个被修改过的， 并且含有一句话的asp木马。找到备份数据库， 备份到：&user1\23\upload\Andyower.asa&, 现在&user1\23\upload\Andyower.asa&就是我们的ASP木马了，现在的任务是 马上恢复好以前的东西，被发现了可不好呢， 再选择恢复数据库的路径:&user1\15\upload\1.asa&, K!一切正常了。才短短不到一分钟的时间， 就搞定了，马上用连接上去这个文件&user1\23\upload\Andyower.asa&， 成功！拿到WebShell！ 这就是偶和天使娃娃拿下WebShell的全部过程，技术不怎么样， 但是我们的骗人技术可是一流的！ 社会过程学的成功运用，wtf呀wtf又被骗啦！哈哈！ 还有后台上传WebShell的思路， 可以用在很多的地方，当山穷水尽的时候，可以试一下。 PS:? 由于论坛的编码原因，那段加密过的代码，都被转回来了。 所以看见的和原来没有加密过的是一样的进入网站后台怎么上传木马？求教程_百度知道503 Service Temporarily Unavailable
503 Service Temporarily Unavailable
openresty/1.9.7.4君，已阅读到文档的结尾了呢~~
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
突破上传总结
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口用cmd制作一句话木马图片
当前位置：
9,652 人围观
有些网站我们在拿shell的时候，会要用到上传文件，但是有的时候都会有过滤，如果只是上传.asp .php结尾的文件的话系统是不会给你上传的，那么这个时候我们通常会把一句话放在图片里面，写成1..jpg 1.jpg的格式上传上去，这样上传的时候系统检测是图片，然后在上传之后，会把这个文件当asp文件来处理，那么如何用cmd来制作一句话木马呢。
首先准备一个图片文件，和一个一句话木马文件如:
准备好之后就打开-运行-cmd，进入下面这个界面，然后cd 进入放置文件的路径，然后输入命令copy 1.jpg/b+1.php 2.jpg 然后回车就系统就会自动把这两个文件组合起来。
这个时候我们打开两个文件对比一下，用记事本打开，发现2，jpg的内容当中已经把我们的1.php的一句话木马语句已经加加到图片当中去了，但是图片还是可以正常打开的。然而这个2.jpg的一句话木马图片是可以用菜刀链接的。如果在shell里面那么我们就可以直接查看修改他的文件了
利用cmd的copy命令制作一句话木马文件就这么简单。
-木易耳东：每一天努力让梦想更近一些
建立此博客一是分享自己所学SEO的知识，二是运用所学的SEO知识。不管你是小白，还是大神。希望我们能成为朋友，做杭州SEO百度第一！
申请友情链接联系QQ:
订单信息（价格单位：积分）
*商品名称：
*商品单价：
*商品数量：
收货信息商店（虚拟商品除邮箱外可不填）
收货姓名：
收货地址：
收货邮编：
用户邮箱：
电话号码：
手机号码：
留言备注：
总金额：1.00 积分}