求助asp网站拿不了webshell问题

许小诺 · 发表于 2014-10-16 13:40:45

今天无视友情检测一个高中网站，后台扫到了
http://www.ximagaozhong.com/admin/admin_login.asp
]L9$ZUA9SH}$BQD5YBC}9ZT.jpg

如是开各种扫描器，谷歌.....手工注入测试了加‘ and 1=1 and 1=2 全部返回正常
开了一下扫描器的结果也什么都没有扫描出来，服务器没有狗
查询了下旁注，没从旁注入手。
I3RM3DENED_(EBBD@7UQHKM.jpg

如是我逛了一下网站，范县有注册会员的地方，果断注册了，凭经验里面应该有上传的地方
如是就看到了这里，感觉离成功不远了。
8E@}Y1TYH]S5$OJU{8)S7TG.jpg

首先测试了下直接上传asp小马，感觉不会成功
1D}7]$~5OTSL{7}R%(8PQOV.jpg

然后差了下服务器类型是iis 6.0 用解析漏洞试了下，漏洞补上了又失败了看他是不是过滤了asp，如是有改了文件名 1.asaspp.jpg 1.asp；.jpg 上传的路径也是jpg结尾的
算了用传统的网马伪装图片，成功上传了，复制路径放在也可以直接访问是图片，改后缀asp 访问错误
，如是姐测试抓包改包，抓的上传路径不是asp结尾的，死马当活马医也没成功最后实在没信心直接提菜刀就上 txt房大量的一句话伪装jpg上传也是连接不上
试了好几次就是不同的一句话
X%~O1A%[46OYT}{L05[G0~C.jpg

求大神解决，本人感觉应该是上传的目录不支持asp解析{:soso_e105:}
大神一定要叫我怎么弄{:soso_e105:}

许小诺 · 发表于 2014-10-16 13:42:54

大神一定要教我啊

管理02 · 发表于 2014-10-23 14:24:39

http://www.ximagaozhong.com/test.txt
结束

C4r1st · 发表于 2014-10-23 14:35:54

大数据时代

许小诺 · 发表于 2014-11-13 22:57:23

C4r1st 发表于 2014-10-23 14:35
大数据时代

求shell地址

DRAGON · 发表于 2014-11-23 01:04:44

提示: 作者被禁止或删除内容自动屏蔽

许小诺 · 发表于 2014-11-23 11:58:42

DRAGON 发表于 2014-11-23 01:04
抓包试试，抓包不行的话在用截断上传！！

动易的，完全不可能

jsjp · 发表于 2014-11-25 22:05:04

动易得基本没法搞，好多学校都是这个！

许小诺 · 发表于 2014-12-13 10:40:10

jsjp 发表于 2014-11-25 22:05
动易得基本没法搞，好多学校都是这个！

大牛么说的大数据，不知道是啥，之前用么人数据库搞下一个

a197110 · 发表于 2014-12-13 11:36:50

发现N个XSS
漏洞

DRAGON DRAGON 当前离线积分 13 头像被屏蔽	发表于 2014-11-23 01:04:44 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
DRAGON DRAGON 当前离线积分 13 头像被屏蔽
	回复使用道具举报

求助asp网站拿不了webshell问题

相关帖子

点评

点评

点评

点评

指导单位

旗下站点

联系我们