话说这期公布了一个动网8.1的最新注入漏洞，利用该漏洞可以轻松得到管理员密码的MD5值，进而查询密码明文进入后台。不过至于进了后台怎么拿 Webshell就没有介绍，本文将详细讲述动网8.1论坛后台获取Webshell的方法。动网虽然一直“洞”不断，不过8.1版本明显在后台安全方面比以前的版本加强了一些，甚至让不少朋友觉得“动网8.1终结了后台获取Webshell的可能”。其实不然，8.1后台一样可以得到Webshell，不过和8.0的有点不同。

    一、后台备份

    标题咋一看是老套路，但是如果你按照8.0的方法来试的话，结果会让你很失望的。此方法需要满足两个条件：
（1）、IIS6.0；
（2）、论坛可以执行上传及数据备份等操作。

    要执行数据备份的前提，当然是你已经得到了管理员的用户名及密码，成功进入了后台才成立了。虽然利用的依然是IIS6.0的缺陷，不过与8.0的拿法有不同之处，主要表现有如下几点：

1、备份论坛数据页面的“当前数据库路径”不可更改；
2、备份论坛数据页面的“备份数据库目录”不允许出现.asp字符；
3、恢复论坛数据页面的“目标数据库路径”不可更改；
4、用空数据库合并的文件恢复会导致论坛出错，后续的备份操作无法完成。

    我们来分析一下以上的限制条件，1、3是没办法突破了，因为这是程序锁死了的，无法更改了。其实之前我和朋友有试过把备份和恢复数据页面里面的 disabled="disabled"去掉，再本地保存为htm文件，再提交相关操作。不过事实证明这样做完全没有任何用处，因为动网限定了这两处为定值，不管你提交什么它都按照事先设定的值来读，所以这两点没办法突破。然后就是第2点，不允许出现.asp字符，咋一看以为真的封死了。可是从动网的代码发现只是限制了.asp，那我们就有机可乘了，目录不用.asp可以用.asa嘛，在IIS6.0下一样可以解析执行的！至于第4点，我们就需要变通一下了。

    从代码得知需要保留动网默认数据库里的一个表段Dv_TableList才不会影响到恢复后的备份操作，至于我们的主角一句话ASP马就可以插在这个 Dv_TableList表里面！为什么老说“恢复后的备份操作”呢？这是为了绕过1、3的限制，先将含有Dv_TableList表段（内插一句话 ASP马）的数据库改扩展为.txt后上传，然后利用“恢复论坛数据”功能把它恢复到/data/dvbbs8.mdb这个位置，接着再利用“备份论坛数据”功能将带马的文件备份到一个x.asa文件夹里，因为路径不可更改，只能顺着程序走了，让程序读自己的默认值来备份。说白了就是给动网来个“偷天换日”，把它原本以为正常的数据库文件换成我们带马的文件。这样就可以很巧妙的绕过上面所提及的四点限制了，至于（1）、（2）这两个硬伤就实在是回天无力了！

    啰嗦了半天，菜菜可能头都大了，那我们再依照上面的描述操作一遍就简单明了咯。首先，我们要“制造”一个符合需求的.mdb文件：

1、把Data目录下的Dvbbs8.mdb复制出来，删掉除Dv_TableList以外的所有表段，如图1；
2、在TableType字段里插入数据，内容为一句话ASP马★★，如图2；



图1



图2

[1] [2] [3] 下一页