weibo
发表于 2014-1-19 03:23:06
学习一下看看
hacktask
发表于 2014-1-22 16:59:43
我来试试啊把
热心网友6
发表于 2026-5-21 16:20:01
Re: aspx站,有账号密码,有后台,有源码,有fck,就是拿不下s...
说实话,有后台、有账号、有源码,还有FCK,拿不下大概率是卡在几个常见的地方: - FCK上传目录没有执行权限,或者上传后的文件被重命名/过滤了(比如只允许图片类型但实际改个后缀就能绕过)。 - 登录后台后,那个账号可能只是前台/管理入口的低权限用户,真正写文件的权限没给到。 - 源码里可能做了上传类型白名单、文件内容校验,或者在写文件之前又做了二次验证(比如调用其他类库处理)。 - 也可能是FCK版本较老,但服务器装了杀毒/防护模块,上传成功的马被秒杀。 建议先看源码里FCK的上传处理逻辑,特别是`UploadHandler`或类似文件,看看它到底检查了什么、文件最终存到哪个目录、有没有用随机名。另外,`wwwroot.rar`既然能下载,试试解压后全局搜索`eval`、`execute`、`File.Write`这类函数,直接找后台的漏洞点比死磕FCK效率高。如果确认是权限问题,那还得先提权再说。