丢掉NC,介绍一种新的上传shell文件的方法

今日低调在知道区发帖求助http://forum.daokers.com/read.php?tid=3048

说后台地址,用户名和密码都有,拿不到shell。不久wbxym和ljb17就分别2种办法上传好了shell。

wbxym的方法很简单就是本地上传,修改action的地址为上传页面并且在路径后面加上*.asp;或者加个.也行。就不多做介绍。

ljb17的方法是抓包,利用nc上传。他这里路径有2种办法,第一个办法是和上面一样,添加*.asp;,第二种办法就是截断,直接在路径后面加*.asp空格,然后在16进制下面将20改为00.然后抓包上传。这里要切记如果文件大小有变化,一定要修改包的大小。

今天我介绍一个新办法,无需做多余的工作,咱们直接上传shell。

诀窍就是利用opera游览器上传。

大家跟随我的脚步一起来upload吧。

首先当然是要安装好这款来自挪威的非IE内核的游览器,非常漂亮。

在低调的这个网站有一个上传产品图片的地方。地址为:http://www.******.com/admin/Uppic.asp?formname=myform&editname=p_pic_b&shopuppath=uppic&filelx=jpg

咱们在opera中打开,很杯具的一个上传页面,没有权限验证,根本无需进入后台。

如图
点击放大图片


现在我们要修改路径,有2种方式 。

第一种,在页面点击“检查元素”,
点击放大图片

就将会启动dragonfly,之后点击左下角的那个“展开DOM树”,就会将代码全部展开。
点击放大图片

之后找到我们准备修改路径的地方,双击他的value值,就会出现修改框
点击放大图片

修改好后在旁边单击一下就保存。

此时我们点击右上角的关闭按钮,关掉frangonfly 。

然后把我们shell修改城gif后缀的文件,在网页中,选择此文件,点击上传,即可成功的传上我们的文件,利用IIS解析问题拿到shell。

第二种方法,这是一种更为简单的方法,他同本地上传差不多。

我们打开上传页面后,右键点击页面,选择“源代码”

点击放大图片


打开源代码后,直接修改路径,然后点击“应用更改”

点击放大图片


此后的过程和上面一样,选择文件即可上传。

不用保存页面,不用挂包,不用NC,这比上面说的本地上传和NC上传要简单的多吧。

对于opera,这里还要说到另外一个问题,怎样获取上传后文件的地址?

因为这个上传页面有一个特点,上传后就关掉页面,如果是在ie内核的游览器比如TT,搜狗中都有一个确认网页关闭的选项,那么在关掉时点击取消,然后查看源代码即可获取地址。但是在opera中是没有的。

我们知道关闭页面是由javascript代码完成的,那么我们搞定js代码就行。也许有童鞋会说,那么我们编辑源代码,去掉js代码不就行了吗?

但是在这里,刚刚我们翻Uppic.asp的代码可以看到,他并没有关闭窗口的代码,关闭窗口的代码是由他的action页面Uppicpro.asp来完成的,修改代码已不可能。

但是js代码是在客户端执行的,我们在游览器中禁用掉不就行了吗?

思路来了,come on

上传页面,右键单击,选择“编辑站点首选项”,切换到“脚本”选项卡,把"允许使用jacascript"前面的钩钩去掉,
点击放大图片


确定然后上传,页面不再关闭,咱也顺利拿到地址。

点击放大图片


看到了后面的“window.close”了吧,就是他要关闭页面的。

测试看看上传是不是ok。

点击放大图片


答案是:perfect



by daokers

2010.6.21夜








以下说明属本文之一部分:
转载请保持完整并注明:转自 金刀客[www.daokers.com]


[本日志由 admin 于 2010-06-27 09:18 PM 编辑]
相关日志:
在线RSS阅读器订阅:
feedsky
抓虾 pageflakes Rojo google reader
my yahoo newsgator bloglines 有道
鲜果 飞豆 哪吒 Netvibes
Netvibes Netvibes

手机订阅:


本站订阅地址:
RSS2:点击复制
Atom:点击复制
        本站所有原创文章均遵循 [创作共用协议]
        本站原创文章可以转载,但须保持完整性并注明出处。
        COPYRIGHT 2008-2010  §  HTTP://WWW.DAOKERS.COM  §    ALL RIGHTS
评论: 5 | 引用: 0 | 查看次数: -
回复回复补色[2011-10-12 05:32 PM | del]
现在随还有点明白。。。。
但貌似很强大。。。。。
回复回复tigerok[2010-10-07 11:32 AM | del]
因为只能上传图片,所以不能穿asp asa,又因为上传的图片名称会随机取值,所以不能用test.asp;123.jpg这类的文件名。所以利用windows的解析漏洞,构造一个诸如/upload/test.asp/4512.jpg的文件路径。

不明白的自己实践去  呵呵
回复来自 admin 的评论 admin 于 2010-10-07 05:39 PM 回复
与本文没什么关系吧
回复回复MStudio[2010-07-17 11:01 PM | del]
没明白.修改路径,是怎么修改,具体修改的内容 ?
菜鸟,别拍砖!~
回复来自 admin 的评论 admin 于 2010-07-17 11:35 PM 回复
多动手
回复回复二少[2010-07-15 07:17 AM | del]
挺好的,firefox上有一个firebug 效果一样。呵呵不错
回复来自 admin 的评论 admin 于 2010-07-15 10:36 PM 回复
嗯,是的,在刀城有讨论
回复回复残阳之恋[2010-07-09 06:02 PM | del]
刀哥,给安全码吧,想进论坛没账号啊。。
回复来自 admin 的评论 admin 于 2010-07-09 09:03 PM 回复
关闭注册了
发表评论
昵 称:
密 码: 游客发言不需要密码.
验证码: 验证码提示:单击自动获取验证码
内 容:
最多可输入,当前共,还可输入
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.