您当前的位置: 首页 > 网站编程 > ASP教程 > BBSxp/LeadBBS后台上传Webshell的防范

BBSxp/LeadBBS后台上传Webshell的防范

作者:guanchaofeng 来源:不详 发布时间: 2009-10-18 19:18 点击:
最近弄了两个BBS系统,发现后台传/改Webshell的时候都做了一定限度的防范,使得很多新手不知道如何去传Webshell控制主机.其实这个问题很简单......几分钟就能解决 1.BBSXP 昨天朋友弄进去一个BBSXP的论坛,这个论坛以前问题多多,制作人(好象是yuzi工作室)很不注

BBSxp/LeadBBS后台上传Webshell的防范

最近弄了两个BBS系统,发现后台传/改Webshell的时候都做了一定限度的防范,使得很多新手不知道如何去传Webshell控制主机.其实这个问题很简单......几分钟就能解决

1.BBSXP

昨天朋友弄进去一个BBSXP的论坛,这个论坛以前问题多多,制作人(好象是yuzi工作室)很不注意安全的防范,而且对脚本安全基本知识缺乏了解,导致了很多漏洞,而现在已经不是是很流行了.但是新版的还是新版的,也要看看...

后台大致浏览了一下发现可以和Dvbbs的后台一样通过备份数据库来获取Webshell,可是问题是如果备份成ASP的话,后台有一个验证,提示不能备份成.ASP文件.其实这个东西是个名副其实的鸡肋防范策略,因为我们还知道有CdxCerAsaHtr等格式也可以执行ASP脚本.而BBSXP并没有想到.......所以,我们把备份的改为.asa等就可以传了.........BBSXP还是那么菜啊.....

2.LeadBBS.

LeadBBS总体来说还是个强悍的论坛,但是最近还是被Lin给发现了Cookie欺骗漏洞.呵呵.那么在很多人利用的时候,都发现没办法传WebShell.其中包括Sniper .哈哈/

其实我们可以编辑后台的一个ASP文件,而这个文件是检测server和<%这两个字符的.看起来是做了不错的防范,可是还是有问题的.

我们可以通过include来写一个ASP木马.

首先从论坛上传一个JPG后缀的ASP木马,这个木马最好是直接使用FSO或ADODB.STREAM在当前目录生成一个Newmm.ASP这样的代码.因为Include是无法接收数据的.

然后在后台的编辑文件那里写上

然后访问这个文件,最后访问生成的ASP木马地址就可以了.......

分享到:
本文"BBSxp/LeadBBS后台上传Webshell的防范"由远航站长收集整理而来,仅供大家学习与参考使用。更多网站制作教程尽在远航站长站。
顶一下
(0)
0%
踩一下
(0)
0%
[点击 次] [返回上一页] [打印]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 密码: 验证码:
关于本站 - 联系我们 - 网站声明 - 友情连接- 网站地图 - 站点地图 - 返回顶部
Copyright © 2007-2013 www.yhzhan.com(远航站长). All Rights Reserved .
远航站长:为中小站长提供最佳的学习与交流平台,提供网页制作与网站编程等各类网站制作教程.
官方QQ:445490277 网站群:26680406 网站备案号:豫ICP备07500620号-4