先感谢各位的提示.
luoluonet , 不好意思, 以后注意.
{能上传就直接传个马到启动目录,然后kill svchost强制虫启,搞定。 比较暴力,呵呵}
无法上传木马到 启动目录.
我现在连WEBSHELL 都没有得到.
{xp_cmdshell 也存才,用不报错,但是没作用?
是可以用还是用了没回显?如果可以用没回显,你写一个vbs 或者ftp.txt 或者tftp传一个木马上去执行就ok了嘛!等木马来找你多方便的!}
我今天看了点其他服务器上的东西.他们使用了自己的DLL.
先吧XP_CMDSHELL 删除了,然后用自己的DLL 注册上去, 所以就失效了.
2009/4/15 luoluonet <[email protected]>
> to LZ:
>
> 你回复的内容里涉及真实的攻击地址,这部分内容已经被删除。
>
> 请不要在群组里讨论针对真实具体站点的攻击,谢谢大家合作!
>
>
> 2009-04-15
> ------------------------------
> id: luoluo
> mail: [email protected]
> team: http://www.ph4nt0m.org
> ------------------------------
> *发件人:* Xti9er
> *发送时间:* 2009-04-15 22:56:04
> *收件人:* Ph4nt0m
> *抄送:*
> *主题:* [Ph4nt0m] Re: 请教高手一个超级BT的SA注射点
> 能上传就直接传个马到启动目录,然后kill svchost强制虫启,搞定。 比较暴力,呵呵
> On 4月14日, 下午9时05分, Tse Nable <[email protected]> wrote:
> > 权限是sysadmin的.
> > 数据库和WEB分离, 没有办法知道数据库是哪个服务器.
> > 链接数据库字符串放到 C:\A.TXT ,然后用FSO 读进来.
> >
> > xp_cmdshell 也存才,用不报错,但是没作用.
> > sp_dirtree 是存在,执行也不报错,但是返回值就是插不到表里.
> > 读注册表也是这个情况.
> >
> > 网站用了WEB 防火墙,目前使用POST注射可以突破.
> >
> > 进入后来,找见上传,直接上传了ASP马,一访问结果是 403.1
> >
> > 经过几天的寻找,找到一个不是403.1的目录, 但是这个上传验证了后缀,还是特别BT的验证.
> >
> > charn = split(right(vFormFileName,5),".")(1)
>
> > if charn <> "tiff" and charn <> "tif" and charn <> "TIF" and charn <>
> > "TIFF" then
> > response.write "<script>alert('Only Tif or
> > Tiff.');window.close();</script>"
> > response.end
> >
> > 我无法突破这个上传的验证.
> >
> > 唯一可以利用的就是有一个 DownloadFile 的页面没有验证, 但是只能Download WEB目录(D盘)的.
> >
> > 现在我能想到的方法都试过了,无效.
> > 请高人想想办法.
>
> >
>
--~--~---------~--~----~------------~-------~--~----~
要向邮件组发送邮件,请发到 [email protected]
要退订此邮件,请发邮件至 [email protected]
-~----------~----~----~----~------~----~------~--~---
