BBSxp/LeadBBS后台上传Webshell的防范
关于bbsxp/leadbbs的背景上传webshell的防范
作者:kevin1986 更新日期:2005-04-01 种别:网络安全->安全防备 总浏览/本日:650/1
最近弄了两个bbs系统,发明背景传/改webshell的时间都做了一定限制的防范,使得很多老手不知道怎样去传webshell控制主机.实在这个题目很简略......几分钟就能解决
1.bbsxp
昨天朋侪弄进去一个bbsxp的论坛,这个论坛以前题目多多,制造人(好象是yuzi工作室)很不注意安全的防范,并且对脚本安全基本知识缺乏了解,导致了很多漏洞,而现在已经不是是很流行了.但是新版的还是新版的,也要看看...
背景大致浏览了一下发明可以和dvbbs的背景一样经过备份数据库来获取webshell,可是题目是要是备份成asp的话,背景有一个验证,提示不能备份成.asp文件.实在这个工具是个名副实在的鸡肋防范计谋,由于我们还知道有cdxcerasahtr等款式也可以实行asp脚本.而bbsxp并没有想到.......所以,我们把备份的改为.asa等就可以传了.........bbsxp还是那么菜啊.....
2.leadbbs.
leadbbs总体来说还是个强悍的论坛,但是最近还是被lin给发明了cookie欺骗漏洞.呵呵.那么在很多人利用的时间,都发明没措施传webshell.其中包罗sniper .哈哈/
实在我们可以编辑背景的一个asp文件,而这个文件是检测server和<%这两个字符的.看起来是做了不错的防范,可是还是有题目的.
我们可以经过include来写一个asp木马.
首先从论坛上传一个jpg后缀的asp木马,这个木马最好是直接使用fso或adodb.stream在当前目次生成一个newmm.asp如许的代码.由于include是无法接收数据的.
然后在背景的编辑文件那里写上
然后访问这个文件,末了访问生成的asp木马地址就可以了.......
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
