WAP手机网站入侵实例 不让上传我偏要传

近来忙着开发一个WAP手机网站，好几天都没有好好睡觉了，就是因为UTF_8转换为GB问题。网上虽然有现成的ASP脚本可以转换，但在转换过程中还是有些字符转换不了。无奈中在某个开发成功的WAP手机站页面中找到了一个技术人员的QQ，可惜在我诚心的请教下，他却说：“商业代码，不能公开！”。我无语，这算是高深的技术吗？难怪中国的技术进步得那么的缓慢，都是有了这一种保守派，不愿意和人分享技术成果而造成的。烦恼中……我突然谋生出了歪念，他不说给我听，还装神秘，好，你不说我就自己“进去”找吧！

想进去当然是先看看他的WEB页面是如何设计的了。一开页面，还真与其它的站不同，是他们自己开发的吗？果真是这样吗？不管怎样，我看它的WEB页面的文件架构分布很熟悉，比如它的数据库，图片，还有用户验证等。看来还要出动我们好用的搜索引擎了，我用的是“百度”。在百度的搜索结果中有一个目录引起了我的注意，那就是“/wapadmin”，从名字可以看出“WAP”是手机上网的术语，“ADMIN”当然是与管理有关的东西了。

好，进去看看！心想一进去当然是该死的登陆页面，而且还要帐户密码……可是让我感到意外的是出现了一个文章数据的的添加页面。经过一轮的页面分析，找到一个可以上传的地方，这个地方是专门给用户提交文章的。不管怎样，我还是看看它的上传功能可否上传……可惜它早已作出了限制，气愤中……

于是想想有没有其它的上传方法。我想起它的WEB服务器是基于Windows 2000系列的，试试以前的上传方法。方法很简单，就是在上传的地址栏中的文件后面加个英文的“.”如下图1所示。

图 1

填好了点确定，可惜上传是上传成功了，但是那个上传的文件变成了“*_Basp”的型式了。如图2所示：

图2

晕！这个管理员为什么这么聪明呢？它竟然把那个分鬲符“.”替为那个“_”。

这时脑子里真有些乱了，难道真的没有希望吗？再一次陷入苦恼中，抽根烟再说。边抽着烟边盯着显视器发呆。一根烟过去了半个钟头，还是想不出方法，烟抽了一堆，不过脑子里开始有些头绪了：它是把我的“.”过滤了，可能它只是对“.”作出的分析判断，而“%2E”也是可以代替字符“.”的，因为在系统中“%”也可以作为文件名。于是就尝试着把我的ASP木马改名为“*%2EASP”的型式来结合文件名后加个字符“.”(因为这样才可以跳过它对文件类型的过滤)。如果一个“%2E”不够的可以加多几个，做法如下图3所示。

图3

我选用的是“ATTRIB”开发过的ASP木马，因为它没有太多的“GET”数据，那样才不容易被管理员在日志中查到很多有用信息。好了，它跳出了成功的对话了，不知能否成功呢？如图4所示。

接下来不用我说了，当然是看看它的服务器里有什么啦。不过要注意的就是那个ASP木马的文件名，在它的显是“.asp.”，它后面有个“.”。如果在浏览器中要把那个‘.’去除过可以访问到我们的木马，因为那个点早已被Windows“吃了”。

好了，这个奇异的上传就告一段落了，不知这个问题在其它的上传能否成立呢？相信大家都很想知道，可惜这个问题在其它众多的上传程中不能成立。也许你们说：那有什么用呢？用处大小我不知道，但我却可以顺利利用它个方法进了那台服务器，还满载而归。也许你在某个环境中想破了头的时候不妨试下这个方法，也许有意外的惊喜呢！