to LZ: 你回复的内容里涉及真实的攻击地址,这部分内容已经被删除。
请不要在群组里讨论针对真实具体站点的攻击,谢谢大家合作! 2009-04-15 id: luoluo mail: [email protected] team: http://www.ph4nt0m.org 发件人: Xti9er 发送时间: 2009-04-15 22:56:04 收件人: Ph4nt0m 抄送: 主题: [Ph4nt0m] Re: 请教高手一个超级BT的SA注射点 能上传就直接传个马到启动目录,然后kill svchost强制虫启,搞定。 比较暴力,呵呵 On 4月14日, 下午9时05分, Tse Nable <[email protected]> wrote: > 权限是sysadmin的. > 数据库和WEB分离, 没有办法知道数据库是哪个服务器. > 链接数据库字符串放到 C:\A.TXT ,然后用FSO 读进来. > > xp_cmdshell 也存才,用不报错,但是没作用. > sp_dirtree 是存在,执行也不报错,但是返回值就是插不到表里. > 读注册表也是这个情况. > > 网站用了WEB 防火墙,目前使用POST注射可以突破. > > 进入后来,找见上传,直接上传了ASP马,一访问结果是 403.1 > > 经过几天的寻找,找到一个不是403.1的目录, 但是这个上传验证了后缀,还是特别BT的验证. > > charn = split(right(vFormFileName,5),".")(1) > if charn <> "tiff" and charn <> "tif" and charn <> "TIF" and charn <> > "TIFF" then > response.write "<script>alert('Only Tif or > Tiff.');window.close();</script>" > response.end > > 我无法突破这个上传的验证. > > 唯一可以利用的就是有一个 DownloadFile 的页面没有验证, 但是只能Download WEB目录(D盘)的. > > 现在我能想到的方法都试过了,无效. > 请高人想想办法. --~--~---------~--~----~------------~-------~--~----~ 要向邮件组发送邮件,请发到 [email protected] 要退订此邮件,请发邮件至 [email protected] -~----------~----~----~----~------~----~------~--~---
