动网7SP2 ASP后门上传新方法

动网真可谓是“洞网”啊，大小漏洞层出不穷!版本从6.X升级到了7.0.0 ，安全上可谓是重上加重，可惜，前不久又出现了upfile.asp 上传任意文件的重大漏洞，而且在7.0.0 SP2 以下通杀!那SP2上有这个漏洞没有呢?用过臭要饭的写的upfile.asp的利用程序的朋友都知道，如果是动网7 SP2，我们上传的ASP程序都会自动被改成*.jpg文件放在UploadFace文件夹下，直接访问url+*.jpg只会返回你上传的后门的源代码而不会被执行。这给我们什么启示呢?让我们慢慢分析一下。

我们都知道，在DvBBS6.0版里,只要拥有后台的登陆权限，在某个面版里设置添加“ASP”为上传类型，就能实现上传ASP文件的目的了，但在7.0.0 的版本中，这点做了重大改进，无论你是否添加了上传后缀为ASP的文件，都会被告之“格式不对，请重新上传”，这可急死我们这一群脚本爱好者了，好不容易拿到了论坛的完全控制权却因为论坛版本为7.0.0而无法上传ASP 木马去实现进一步入侵。

我在一次偶然的机会发现了动网的一个设计缺陷，不敢独享，马上发给了脚本小子(台下丢了个鸡蛋，“快切正文!”)，大家也等我先做个小小的介绍咯：本人前段时间迷上了MU私服，就在某个MU服务器上落脚了，注册了个帐号痛快了玩了几天。可今天在他主页网站的论坛上闲逛，一看是动网7.0.0的，还写着打上了SP2，马上想到用upfile.asp 上传任意文件这一漏洞试试!

在网上看了相关的文章还没机会实践一下呢，来，手工测试一下：捕获数据、修改数据、再次提交……哇?!竟然不行，显示我操作失误!再换公布了的EXE程序测试，还是显示漏洞已经被补上了。小样的，还真行啊!随手在地址栏上打入默认数据库地址，不是吧?竟然能下载?兴奋ing!

打开数据库后发现管理员密码前台和后台都是一样的MD5值，爽!拿起破解工具开始跑，漫长的时光过去后密码出来了，登陆后台!登陆后还是习惯去添加上传类型，然后预料之中的“上传失败”，这可怎么办?好不容易拿到的论坛完全控制权就这样被上传类型挡在了门外。

哎，谁让我可怜被我碰上这样的情况呢，我只能在后台闲逛了……看看基本设置、看看上传头像管理，唉，没希望了。随手点了“系统空间占用”，不知道鼠标移动速度太快，还是老天帮我，我竟然点成了“备份数据库”，那里有默认数据库路径还有备份后的数据库名和后缀*.mdb!耶?!后缀?不知道是那来的灵感：如果我们把ASP木马后缀先改成JPG上传，再把默认数据库的路径和文件名改成刚刚上传得到的图片相对路径和文件名，再把下面备份的文件名dvbbs7.MDB改成dvbbs7.ASP，那不就等于把原先上传后缀为JPG的ASP木马复制到“备份数据库目录”并改名，把它变成了一个真正的ASP木马文件了吗?想到这里心里不禁倒吸了一口冷气!这么危险的设计缺陷，可以复制并修改任何文件的后缀!天!

说干就干!

大家看明白了吧?对!就是这样修改的，点击确定后“图片”文件就被复制到“Databackupyuyi.ASP”去了。

同样的方法，在“恢复数据库”这一页面里也能实现这一操作!注意：这些操作服务器必须要有FSO的支持才能实现!最后在地址栏那打入备份后的ASP文件路径!哈哈哈，那个熟悉的ASP木马界面出现了!给点掌声，谢谢!

这一步完成后我就借助ASP木马的威力拿到了，MU私服网页程序里的SQL Server帐号和密码了!有了这个再用SQL登陆器一连接……再给点掌声，谢谢!

动网7 虽然在安全上做了很大的提高，而且还限制了上传 ASP 文件，但他却忘了备份数据库这个功能也能实现ASP文件“上传”的目的，大家赶快试试这个方法吧，效果很好哦!