知識補充:
nc上傳漏洞在原理上同動網上傳漏洞一樣,都是利用計算機在讀取字符串時,遇到'\0'(00)時,認為字符串結束了,從而丟掉后面的字符串,正如unicode編碼特性一樣,可被人利用,盡管在這里網站過濾了路徑,但任然從用戶處接收文件名,我們同樣可以在字符串中構造'\0'(00),又在結尾處構造jpg,因為擴展名是從右讀取的,它認為文件類型是jpg,從而可以繞過擴展名驗證而上傳;在保存時,文件名又是從左邊讀取的,當它遇到'\0'(00)時,后面就都丟掉了!於是,文件就被保存成我們先要的asp文件了!
實例說明:
工具:
1.啊D注入工具
2.asp小馬+asp大馬
3.WinsockExpert
4.C32asm
5.nc
1.通過啊D注入工具,跑出后台,跑出注入點,跑出username && pasword
2.登錄進入后台:
沒有數據庫備份,怎么辦?那就找文件上傳漏洞,看看能不能直接上傳木馬
呵呵!不能直接上傳asp木馬!怎么辦?那么我們就來上傳圖片進行抓包!
復制winsockexport中前兩行的內容到nc_source.txt中
然后修改數據包
1.修改上傳文件路徑及名稱
改包前:
改包后:(注意:jc.asp后面有一個空格,必須!)
2.修改數據包的大小
復制nc_source.txt中除winsockexport抓到的第一行的內容,粘貼到另外的記事本bao.txt中
查看bao.txt的大小:
數據包修改前的大小:
數據包修改后的大小:
修改數據包的結束處(這一點最重要):
定位到jc.asp,然后修改jc.asp后的那個空格(20填充為00),保存退出即可!
使用nc上傳
開始上傳:
jc.asp上傳成功
jc.asp的真實路徑:D:\vhosts\9zjw.com\httpdocs\admin\web\UploadFile\product\jc.asp
改成jc.asp的相對路徑:http://www.9zjw.com/admin/web/UploadFile/product/jc.asp
上傳大馬:
大馬上傳成功,得到webshell:
摘自:http://wenku.baidu.com/link?url=D_jytoJJ54uPWUdheK7K7r3XHh7cneZuNcI1psnVda65_Vc24ZedpsnmkDEYzw_7l_FhKYJZ5fiAJpiIOrGejCL36ONvCShoyzmbpg4R2ba