型:接下来把免杀的 ASP 木马的后缀名 改成 asa,返回管理首页,点击“预览”,然后选择“插入其它文件”的按钮进 行 ASP 木马的上传:上传的 ASP 木马就在“UploadFile”文件夹里。 如果加了 asa 类型后发现还是无法上传。应该是站长懂点代码,自己修改了 Upload.asp 文件, 但是没有关系, 按照常人的思维习惯, 往往会直接在 sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站 长是这样修改的:sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”) 猛一看什么都过滤了, 但是我们只要在上传类型中增加“aaspsp”,就可以直接 上传 asp 文件了。 如果上述两种方法都失败了,则利用 eWebEditor 能够设定自动保存远程文件的 类型, 我们可以加入 asp 类型。 但是如何才能让远程访问的 asp 文件能够以源码 形式保存呢?方法是很多的, 最简单的方法是将 IIS 中的“应用文件映射”中的 “asp”删除。(此方法未经测试,个人感觉利用率不高) 有的站数据库设置了只读属性, 这样的站你是无法新加样式的,这样的站你可以 看他数据库里的样式设置情况,一般很多时候都是让人给拿过的<br> ,而且明显的 asa 在那里。这样的话就可以直接构造一个调用这个样式的连接来上传 shell。 比如发现数据库里有样式 123 他设置的是可以上传 asa 的话那么就可以这样调 用: xxx/eWeb/eWebEditor.asp?id=contentCN&;style=123 这样就可以直接上传了,然后在点“编辑”就会找到 shell 的路径了.其实这个 漏洞主要是 upload.asp 的过滤不严造成的,新版的应该都修复了,具体受影响 的版本我也没统计过. 遍历路径 ewebeditor 遍历路径漏洞(当数据库只读的时 候)ewebeditor/admin_uploadfile.asp?id=14 在 id=14 后面添加&;dir=..再加 &;dir=../..或&;dir=xxxxx/../.. 看到整个网站文件了, 不过 此项在测试的时候发现,只有登录成功才能进行这项操作。 Cookie 漏洞 漏洞文件:Admin_Private.asp. 漏洞语句: <% If Session(”eWebEditor_User”) = “” Then Response.Redirect “admin_login.asp”<br> Response.End End If 只判断了 session,没有判断 cookies 和路径的验证
问题。 漏洞利用: 新建一个 mrchen.asp 内容如下: <%Session(”eWebEditor_User”) = “11111111″%> 访问 mrchen.asp,再访问后台任何文件,for example:Admin_Default.asp 这个 拿 shell 的方法就简单了. ASPX 版 Javascript 文件上传 受影响文件:eWebEditorNet/upload.aspx 原理:代码 <form id=”post” encType=”server”> “uploadfile” style=”file” size=”uploadfile” runat= “lbtnUpload” runat= “
JavaScript”> 只是简单的对 ID 进行验证,只要构造 javascript:lbtnUpload.click();满足条 件达到上传木马的效果。 利用方法:添好本地的 cer 的</body>