话说这期公布了一个动网8.1的最新注入漏洞，利用该漏洞可以轻松得到管理员密码的MD5值，进而查询密码明文进入后台。不过至于进了后台怎么拿Webshell就没有介绍，本文将详细讲述动网8.1论坛后台获取Webshell的方法。动网虽然一直“洞”不断，不过8.1版本明显在后台安全方面比以前的版本加强了一些，甚至让不少朋友觉得“动网8.1终结了后台获取Webshell的可能”。其实不然，8.1后台一样可以得到Webshell，不过和8.0的有点不同。

　　一、后台备份

　　标题咋一看是老套路，但是如果你按照8.0的方法来试的话，结果会让你很失望的。此方法需要满足两个条件：

　　(1)、IIS6.0;

　　(2)、论坛可以执行上传及数据备份等操作。

　　要执行数据备份的前提，当然是你已经得到了管理员的用户名及密码，成功进入了后台才成立了。虽然利用的依然是IIS6.0的缺陷，不过与8.0的拿法有不同之处，主要表现有如下几点：

　　1、备份论坛数据页面的“当前数据库路径”不可更改;

　　2、备份论坛数据页面的“备份数据库目录”不允许出现.asp字符;

　　3、恢复论坛数据页面的“目标数据库路径”不可更改;

　　4、用空数据库合并的文件恢复会导致论坛出错，后续的备份操作无法完成。

　　我们来分析一下以上的限制条件，1、3是没办法突破了，因为这是程序锁死了的，无法更改了。其实之前我和朋友有试过把备份和恢复数据页面里面的disabled="disabled"去掉，再本地保存为htm文件，再提交相关操作。不过事实证明这样做完全没有任何用处，因为动网限定了这两处为定值，不管你提交什么它都按照事先设定的值来读，所以这两点没办法突破。然后就是第2点，不允许出现.asp字符，咋一看以为真的封死了。可是从动网的代码发现只是限制了.asp，那我们就有机可乘了，目录不用.asp可以用.asa嘛，在IIS6.0下一样可以解析执行的!至于第4点，我们就需要变通一下了。从代码得知需要保留动网默认数据库里的一个表段Dv_TableList才不会影响到恢复后的备份操作，至于我们的主角一句话ASP马就可以插在这个Dv_TableList表里面!为什么老说“恢复后的备份操作”呢?这是为了绕过1、3的限制，先将含有Dv_TableList表段(内插一句话ASP马)的数据库改扩展为.txt后上传，然后利用“恢复论坛数据”功能把它恢复到/data/dvbbs8.mdb这个位置，接着再利用“备份论坛数据”功能将带马的文件备份到一个x.asa文件夹里，因为路径不可更改，只能顺着程序走了，让程序读自己的默认值来备份。说白了就是给动网来个“偷天换日”，把它原本以为正常的数据库文件换成我们带马的文件。这样就可以很巧妙的绕过上面所提及的四点限制了，至于(1)、(2)这两个硬伤就实在是回天无力了!

　　啰嗦了半天，菜菜可能头都大了，那我们再依照上面的描述操作一遍就简单明了咯。首先，我们要“制造”一个符合需求的.mdb文件：

　　1、把Data目录下的Dvbbs8.mdb复制出来，删掉除Dv_TableList以外的所有表段，如图1;

　　2、在TableType字段里插入数据，内容为一句话ASP马★★，如图2;

　　图1

　　图2

　　光这样还是不行的，因为即使数据库里只剩下一个表段，但体积依然比较惊人(大小为：2.04M)。这个体积远远超出了Windows 2003 默认不允许上传大于200K文件的限制!所以我们要把它变小点，让它变小的办法就是将它“转为Access 97 文件格式”(Dvbbs8.mdb是Access 2000格式的)如图3。

　　图3

　　“变身”后的Dvbbs8.mdb现在苗条很多了，大小仅为68K，符合要求了。然后我们把Dvbbs8.mdb改为Dvbbs8.txt(就是把扩展名.mdb改为.txt)，这样做的目的是为了可以顺利上传。因为动网不允许上传.mdb文件(除非后台添加，不过多此一举)，但允许上传.txt文件。

[1] [2] [3] 下一页