知识补充:
nc上传漏洞在原理上同动网上传漏洞一样,都是利用计算机在读取字符串时,遇到'\0'(00)时,认为字符串结束了,从而丢掉后面的字符串,正如unicode编码特性一样,可被人利用,尽管在这里网站过滤了路径,但任然从用户处接收文件名,我们同样可以在字符串中构造'\0'(00),又在结尾处构造jpg,因为扩展名是从右读取的,它认为文件类型是jpg,从而可以绕过扩展名验证而上传;在保存时,文件名又是从左边读取的,当它遇到'\0'(00)时,后面就都丢掉了!于是,文件就被保存成我们先要的asp文件了!
实例说明:
工具:
1.啊D注入工具
2.asp小马+asp大马
3.WinsockExpert
4.C32asm
5.nc
1.通过啊D注入工具,跑出后台,跑出注入点,跑出username && pasword
2.登录进入后台:
没有数据库备份,怎么办?那就找文件上传漏洞,看看能不能直接上传木马
呵呵!不能直接上传asp木马!怎么办?那么我们就来上传图片进行抓包!
复制winsockexport中前两行的内容到nc_source.txt中
然后修改数据包
1.修改上传文件路径及名称
改包前:
改包后:(注意:jc.asp后面有一个空格,必须!)
2.修改数据包的大小
复制nc_source.txt中除winsockexport抓到的第一行的内容,粘贴到另外的记事本bao.txt中
查看bao.txt的大小:
数据包修改前的大小:
数据包修改后的大小:
修改数据包的结束处(这一点最重要):
定位到jc.asp,然后修改jc.asp后的那个空格(20填充为00),保存退出即可!
使用nc上传
开始上传:
jc.asp上传成功
jc.asp的真实路径:D:\vhosts\9zjw.com\httpdocs\admin\web\UploadFile\product\jc.asp
改成jc.asp的相对路径:http://www.9zjw.com/admin/web/UploadFile/product/jc.asp
上传大马:
大马上传成功,得到webshell:
摘自:http://wenku.baidu.com/link?url=D_jytoJJ54uPWUdheK7K7r3XHh7cneZuNcI1psnVda65_Vc24ZedpsnmkDEYzw_7l_FhKYJZ5fiAJpiIOrGejCL36ONvCShoyzmbpg4R2ba