浅说双引号被过滤时一句话的插入
作者:admin 日期:2010-08-19
昨日小刀刀在群里抛了一个问题,说后台插入一句话老是出错,群里的朋友出了很多主意,但是最后还是没搞定。后来这小子把问题抛给了我,昨天我就测试了一下。这里把情况介绍给大家。
一般而言,后台插一句话,如果数据库扩展名是asp的话,那么插数据库,但是如果有配置文件可以插的话,那肯定是插入配置文件了,但是插入配置文件有一个很大的风险,那就是一旦出错那么全盘皆输,有可能不仅仅造成后台无法登陆,甚至有可能是整个网站系统崩溃,所以插入配置文件,请慎之又慎。
话归正题,如果想插入配置文件,一般是config.asp,那么首先需要了解这个文件的一般情况。
一般而言,后台插一句话,如果数据库扩展名是asp的话,那么插数据库,但是如果有配置文件可以插的话,那肯定是插入配置文件了,但是插入配置文件有一个很大的风险,那就是一旦出错那么全盘皆输,有可能不仅仅造成后台无法登陆,甚至有可能是整个网站系统崩溃,所以插入配置文件,请慎之又慎。
话归正题,如果想插入配置文件,一般是config.asp,那么首先需要了解这个文件的一般情况。
Tags: 原创文章
丢掉NC,介绍一种新的上传shell文件的方法
作者:admin 日期:2010-06-27
今日低调在知道区发帖求助http://forum.daokers.com/read.php?tid=3048
说后台地址,用户名和密码都有,拿不到shell。不久wbxym和ljb17就分别2种办法上传好了shell。wbxym的方法很简单就是本地上传,修改action的地址为上传页面并且在路径后面加上*.asp;或者加个.也行。就不多做介绍。
ljb17的方法是抓包,利用nc上传。他这里路径有2种办法,第一个办法是和上面一样,添加*.asp;,第二种办法就是截断,直接在路径后面加*.asp空格,然后在16进制下面将20改为00.然后抓包上传。这里要切记如果文件大小有变化,一定要修改包的大小。
今天我介绍一个新办法,无需做多余的工作,咱们直接上传shell。诀窍就是利用opera游览器上传。大家跟随我的脚步一起来upload吧。首先当然是要安装好这款来自挪威的非IE内核的游览器,非常漂亮。
在低调的这个网站有一个上传产品图片的地方。地址为:http://www.******.com/admin/Uppic.asp?formname=myform&editname=p_pic_b&shopuppath=uppic&filelx=jpg
咱们在opera中打开,很杯具的一个上传页面,没有权限验证,根本无需进入后台。
如图
说后台地址,用户名和密码都有,拿不到shell。不久wbxym和ljb17就分别2种办法上传好了shell。wbxym的方法很简单就是本地上传,修改action的地址为上传页面并且在路径后面加上*.asp;或者加个.也行。就不多做介绍。
ljb17的方法是抓包,利用nc上传。他这里路径有2种办法,第一个办法是和上面一样,添加*.asp;,第二种办法就是截断,直接在路径后面加*.asp空格,然后在16进制下面将20改为00.然后抓包上传。这里要切记如果文件大小有变化,一定要修改包的大小。
今天我介绍一个新办法,无需做多余的工作,咱们直接上传shell。诀窍就是利用opera游览器上传。大家跟随我的脚步一起来upload吧。首先当然是要安装好这款来自挪威的非IE内核的游览器,非常漂亮。
在低调的这个网站有一个上传产品图片的地方。地址为:http://www.******.com/admin/Uppic.asp?formname=myform&editname=p_pic_b&shopuppath=uppic&filelx=jpg
咱们在opera中打开,很杯具的一个上传页面,没有权限验证,根本无需进入后台。
如图
Tags: 原创文章
一个关于利用IEms06014,PDF溢出和2个java方面漏洞网马的解密分析
作者:admin 日期:2010-05-31
解密WebShell 6.0 VIP和Manage Login等二款ASP WEBSHELL
作者:admin 日期:2010-04-13
对来自t00ls的wsctece.asp的解密、使用及后门功能全分析
作者:admin 日期:2010-04-11
yyb1813 在刀城知道区发了一个求助帖子,http://forum.daokers.com/read.php?tid=1620
询问怎么使用这个从t00ls拿来的ASP WEBSHELL。
分析shell的前提,当然是这个shell必须是明文的,那么我们首先解密这个webshell
这个是一个非常典型的运用十三逆向加密的例子,并且有一个函数进行了变异,增加识别的难度。
首先把wsctece.asp拉入工具。
首先看第一个函数zznFun的解密。
程序代码
十三逆向的函数
询问怎么使用这个从t00ls拿来的ASP WEBSHELL。
分析shell的前提,当然是这个shell必须是明文的,那么我们首先解密这个webshell
这个是一个非常典型的运用十三逆向加密的例子,并且有一个函数进行了变异,增加识别的难度。
首先把wsctece.asp拉入工具。
首先看第一个函数zznFun的解密。
程序代码Function zznFun(zznObjstr):zznObjstr = Replace(zznObjstr, "③", """"):For zznI = 1 To Len(zznObjstr):If Mid(zznObjstr, zznI, 1) <> "壹" Then:zznNewStr = Mid(zznObjstr, zznI, 1) & zznNewStr:Else:zznNewStr = vbCrLf & zznNewStr:End If:Next:zznFun = zznNewStr:End Function
十三逆向的函数
Tags: 原创文章
vb中5种打开文件夹浏览框的方法总结
作者:admin 日期:2010-03-14
阅读红科网安的火星文邮件
作者:admin 日期:2010-03-14
跟刀客一起追寻昨日的足迹
作者:admin 日期:2010-02-08
已近年终,城里的白领、乡下的阿姨都开始开始忙年货,在网上有那么一群人也开始忙活起来,为他们的年终奖金而“奋斗”,那就是职业“黑客”,他们窃取数据为自己谋一个温饱或者寻找更大的幸福,乃至奔驰、宝马。在这样的环境下,我管理的服务器收到大量的日志。注入拦截日志,批量扫描拦截日志,敏感文件拦截日志等等呈几何式增长,IIS的日志不断刷新着记录,100m,200m,1G,2G......有些网站仅日志一项都拿去了他们自身数据10倍乃至100倍的容量,当然这个日志主要与网络流量有关。
作为一个服务器维护者,我的工作就是检查日志。今天我想和大家分享的不是上面的任何一个日志,而是系统的管理日志。在windows 2003系统中,在“开始”菜单“运行”中输入“eventvwr”就可以打开事件查看器,不过一般我们是打开计算机管理,他包含了这个时间查看器,方便管理,在运行中输入“compmgmt.msc”或者右击我的电脑选择“管理”就可以打开计算机管理。事件查看器 一般可以查看四类日志,他们分别是“应用程序”,“internet explorer”,“安全性”和“系统”。如图
对于“登陆/注销”来说我们重点关注 “应用程序”和“系统”这2类,“登陆/注销”这种行为一般发生在系统用户和数据库用户,下面以一个例子来具体说明。
作为一个服务器维护者,我的工作就是检查日志。今天我想和大家分享的不是上面的任何一个日志,而是系统的管理日志。在windows 2003系统中,在“开始”菜单“运行”中输入“eventvwr”就可以打开事件查看器,不过一般我们是打开计算机管理,他包含了这个时间查看器,方便管理,在运行中输入“compmgmt.msc”或者右击我的电脑选择“管理”就可以打开计算机管理。事件查看器 一般可以查看四类日志,他们分别是“应用程序”,“internet explorer”,“安全性”和“系统”。如图
对于“登陆/注销”来说我们重点关注 “应用程序”和“系统”这2类,“登陆/注销”这种行为一般发生在系统用户和数据库用户,下面以一个例子来具体说明。
Tags: 原创文章
FCKeditor风云
作者:admin 日期:2010-02-05
前段时间,IIS解析漏洞被披露出来。IIS解析漏洞就是把shell文件命名为test.asp;z.jpg,test.asp;_gif之类格式的文件,会被当做asp,php,aspx等动态文件解析的问题。对于FCK来讲,这个漏洞应当是起到了助纣为虐的作用。fckeditor可能是当今各大站长使用的最为广泛的一款网页编辑器,其兼容性和易用性广为人知,但同时众所周知的是他的安全性也被人广为诟病。IIS解析漏洞和FCK上传文件问题这两者的结合铸就了江湖太多太多的血雨腥风。前段时间安全中国,NOD32网站等网站被入侵,听说都是因FCK所累,真不知有多少大站倒在fck的石榴裙下,网络安全有点触目惊心的味道。
FCK的问题与IIS的解析漏洞有着密切的关系,自IIS解析漏洞披露后,fck就遭受了新一轮冲击。由于fck对上传文件的扩展名检查不严格,导致了一些畸形文件名文件的上传,比如上面说道的test.asp;z.jpg,而由于IIS解析漏洞的原因,IIS会把这种格式的文件当做动态文件解析。FCK修正了一次之后,又出现了二次上传漏洞,就是第一次会把扩展名中多余的”.“替换成”-“,但是如果再传一次同样的文件,则不替换。对上传文件过滤似乎有所加强,出现invalid file弹窗的几率大为增加,但是还是有办法突破,这都归责于fck的致命问题:上传文件没有重命名!对于突破上传,网上有个朋友介绍了一个相当好的办法,那就是利用edjpgcom插入一句话到图片,这个图片还可以游览,fck根本无法检测出,非常好的一个伪装办法,edjpgcom.exe这个程序刀城有朋友传上来了,在cmd下使用,直接拉图片到程序也是可以的。
前几天遇到一个fck的一个新情况,是什么呢?重命名了,我不是很确认这是官方的版本还是自己修改的版本,FCK把所有的文件都重命名存放,截图看下
FCK的问题与IIS的解析漏洞有着密切的关系,自IIS解析漏洞披露后,fck就遭受了新一轮冲击。由于fck对上传文件的扩展名检查不严格,导致了一些畸形文件名文件的上传,比如上面说道的test.asp;z.jpg,而由于IIS解析漏洞的原因,IIS会把这种格式的文件当做动态文件解析。FCK修正了一次之后,又出现了二次上传漏洞,就是第一次会把扩展名中多余的”.“替换成”-“,但是如果再传一次同样的文件,则不替换。对上传文件过滤似乎有所加强,出现invalid file弹窗的几率大为增加,但是还是有办法突破,这都归责于fck的致命问题:上传文件没有重命名!对于突破上传,网上有个朋友介绍了一个相当好的办法,那就是利用edjpgcom插入一句话到图片,这个图片还可以游览,fck根本无法检测出,非常好的一个伪装办法,edjpgcom.exe这个程序刀城有朋友传上来了,在cmd下使用,直接拉图片到程序也是可以的。
前几天遇到一个fck的一个新情况,是什么呢?重命名了,我不是很确认这是官方的版本还是自己修改的版本,FCK把所有的文件都重命名存放,截图看下
Tags: 原创文章
