突破VirtualWall上传webshell

打开目标站点看了一下用的是易想商务网慧聪网风格V2.5 的商务建站系统!
随手看了一下,用NC提交注册一个用户名为woc.asp的用户名。系统会自动新建一个以用户名为命名的文件夹
然后来到相册管理,上传一个改后缀为JPG的ASP大马。本来以为秒了
" width=
尼玛的,不给力
给拦截了,百思不其解,心想可能这马加密不够,蛋疼的拖来一个合并图片的一句话
可还是给拦截了,于是抓包看了一下上传地址的URL

http://www.91ri.org /inc/upload.asp?tMode=8&istwo=1&utype=vipinfo&guser=woc.asp

发现最后面一个参数是用户名,也就是说改最后参数就能达到上传文件到任意目录
心想应该能改成woc.asp;.jpg用NC截断提交上shell
" width=
还是被无情的拦截了,以试了woc.asa;.jpg woc.cer;jpg woc,cdx;.jpg
asa被拦截,但是发现CER,CDX无法解析直接显示源码, 哪为什么cer cdx就不拦截呢,而且我的SHELL源码也传上去了,
难道屌丝的注定赚不到这30JB 痛苦流泪30分钟中
在会后台转了几十分钟,没有找到好的方法拉SHELL,突然一朵菊花从天而降,我似乎发现了点什么
其实也不算发现了什么,只是发现这非法信息拦截专家过滤的是a.asp a.asa这样的目录,和asp;. asa;.的文件名
并没有去拦截我们PUT上去的数据,这算不算这套拦截专家的不完美之处啊,
像哪一流信息拦截系统,特别蛋疼,过滤很多字符,话说到这,有人要问了,既然你无法直接PUT
上ASP后缀,看你怎么拿SHELL, 话说到这我不得不告诉大家一件事
就是这拦截系统在我痛哭流泪的30分钟其间,可能被我感动了,我无意点开我的SHELL。发现被解析了
不过时间解析时间只有几短短的几秒钟,根本来不极上大马
后来静静的关注了一下这个专家
发现这个专家啊,有一定的规律,整点或者整分钟的时候会有几秒钟没有拦截任何东西
这短短几秒也应该算是突破这拦截专家的鸡肋方法了,又盯着电脑看了一个多小时
于是立刻思路在脑子里转了起来
1.利用FSO直接生成一个一句话的SHELL在上一级目录,(因为不能生成在A.ASP的目录,会被无情拦截)
2.利用FSO直接复制刚才上传过的改过后缀为JPG的大马到上级目录为ASP文件
3.XMLHTTP无FSO下载

在这里我先列出我用到的相关代码
1.FSO生成一句话代码

 

 

2.FSO复制文件代码

 

 

3XMLHTTP 无FSO用到的下载文件代码

 

 

由于我不只能勉强的懂一点点ASP。所以以上代码并非我本人所写,是经过百度和GG轮翻几小时的结果
继续说经过
当我写好第一段代码的时候,火速上传到网站上,
看了看时间,差不多整点的时间我立马刷新了一下我的SHELL路径
发现代码又被执行了,
" width=
大家也看到了,苦苦蹲守了这么久发现目标网站无开启FSO
FSO的意思是File System Object,我上面二个ASP代码用的就是FSO组件来写SHELL和复制文件
当时我快哭了,
于是又开始百度起来,找无FSO拿SHELL方法,
时间一分一秒过去,看看窗外天已经亮了,功夫不负有心人啊
在朋友哪边拿了个XMLHTTP下载文件的ASP文件过来
就是我贴的代码三,继续上面的经过,
改后缀为JPG扔到目标站上去,于是又开始了苦等这个专家休息时间
边看边等边试, 一有机会就出手
" width=
大家看到了吧。文件下载成功。
(这个图是今晚随便找个网站测试抓的因为我再也不想再到目标机去测试了,等哪位专家休息实在是太浪费时间了)
打开网站输入system.asp,一片空白,一句话小马已经下载好了
打开一句话连接端,接下来就是狗血的步子了。小马拉大马
" width=
心里激动万分,哪贷还说送我100JB表达谢意,不过好像没有送
----------------------------
有时候为了一个目标,奋斗一晚上甚至几天几人夜只为争取哪短短的一二秒来拿SHELL
估计大牛们应该经常这样,好了这是我这次非主流的绕过方法,
方法就是利用拦截专家来不极检测的哪短短几秒种来下载我们的WEBSHELL
只是这几秒太难把握了,一个晚上的代价换来这30JB。
本文摘自NO.THINKING由网络安全攻防研究室(www.91ri.org) 信息安全小组收集整理.