邮箱:service@hongdaqianqiu.com
本文把实际地址全都隐藏了。然后就是我没拿到Webshell,本文只是提供一些分析和思路,给学习检测网站安全的童鞋提供一些思路。
有很多童鞋只知道找编辑器,上传,下载,注入,其他的呢。本文是写给那些想突破瓶颈的孩纸看的。
因为当时很晚半夜了都,所以只进行了半截。后来网站管理人员找我了,我就把问题报给他们了
后台是用万能密码进去的。这个我真的是没有想到。主站是用的wordpress,同服务器有个分站。这个分站的后台就是这个了
几个上传那里完全不能上传php,这是铁定的,想过无数办法了
(以下图片为经过排版并做了缩放处理 图片若看不清可以通过右击查看原图片或者在新标签页中打开图片)
而且后台也没有编辑器之类的,只有评阅啊之类的,也没有编辑什么的
那么我们来慢慢分析。引起我注意的是一个论文下载部分。
这里我觉得奇怪的是这样的事情,我选择了一个日期,然后点击“下载”,系统反应很慢,然后给出一个上百MB的压缩包给下载。
我想如果我是这个程序编写者,后台没过滤有万能密码,那水平应该不是很高,所以系统不可能太复杂,我认为我能写出来的这个论文批量下载是这样的:
从客户端向SERVER提交一个POST数据包,这个数据包是一个日期,而系统从数据库或者目录里面进行筛选,满足这个日期的文档统统进行压缩打包,然后将打包好的压缩包提供下载,这个压缩包的命名就在之前POST的数据里面。
如果是从目录里面进行筛选,那么有没有可能POST一个文件夹的名字,然后让系统把这个目录的文件打包提供呢?或者说,系统打包好的文件放置于某个目录,然后通过提交POST数据,不下载压缩包,而下载别的文件呢?
这只是猜想。
我们来试着本地构造html进行POST数据,先POST一个单引号:
|
1
2
3
4
5
6
7
|
<form name=“downloadclass” action=“http://xxxxxxx.xxxxxxx.org/admin/downloadclass.php” method=“post”>
<select name=“class”>
<option value=“‘”>‘</option>
<option value=“404.php%00″>404.php</option>
</select>
<input name=“Submit” type=“submit” id=“Submit” value=“下 载”/>
</form>
|
我们来看看服务端返回的信息:
服务器对POST的信息不做任何的验证或者过滤,直接带进去后面加.zip作为压缩包的文件名了,然后看我圈出来的函数
首先要解决的是后面加.zip的问题,这个其实很好解决,在IE中,如果是GET,只需要加个%00,这种是url编码
可是POST里面就不是这样了。%00就是�就是截断字符。那么我们试着:
编辑器中被选取的两个字节的空白地方的地方不是空格,是用16进制模式编辑的0×0000
虽然不知道这样能不能达到的我的目的,也就是POST一个截断字符。不过似乎用IE来这样是不行的,要用其他的工具?
截断倒是可以想办法解决,.zip的固定后缀名也可以通过截断解决。不过猜主站的目录什么的嘛,我就认为没什么太大的必要再说了,刚才说了主站和这个分站是一个服务器,并且主站是用wordpress,后面就应该明白了。
91ri.org:不要觉得没有拿到SHELL的文章就不算完整 个人觉得有时分析、了解原理比什么都重要!
原文:http://bbs.blackbap.org/thread-3209-1-1.html 注:我用另外一个马甲在这个论坛注册了一下 管理员人也不错。 我翻了些文章 特别是主站的文章不错 推荐大家去看 
本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处!
Copyright © hongdaChiaki. All Rights Reserved. 鸿大千秋 版权所有
联系方式:
地址: 深圳市南山区招商街道沿山社区沿山路43号创业壹号大楼A栋107室
邮箱:service@hongdaqianqiu.com
备案号:粤ICP备15078875号
