账号通
    

账号  

密码  

8893

查看

11

回复
主题:[反馈BUG]刚刚在后台发现了一个上传漏洞,可以上传ASP木马,附相关文件及教程 [收藏主题] 转到:  
gzxqt 当前离线

113

主题

0

广播

0

粉丝
添加关注
级别:一年级

用户积分:513 分
登录次数:36 次
注册时间:2009/2/28
最后登录:2012/3/19
gzxqt 发表于:2010/11/30 19:06:26   | 显示全部帖子 查看该作者主题 楼主 
科汛在线网校系统

先说明一下,这个木马得有后台操作权限才能上传,但现在很大网站的后台管理人员很多,也可能造成不必要的....



操作方法:



1 模板管理中 新建一个模板页,如mb.html 里面只添加一行代码 : {LB_木马文件}  如下图

点击查看原图



2 在标签管理中,添加一个自定义静态标签,命名为 木马文件,里面写上附件压缩文件包内的上传小马.asp文件中的内容

 下载信息  [文件大小:56.31 KB 下载次数: 次]
点击下载文件:木马样本
,压缩包内有两个文件,一个 上传小马.asp 另一个就是真正的木马文件了,添加标签内容如下图:

点击查看原图





3 内容 -- 栏目管理中,添加一个栏目,如栏目名称为木马上传, 栏目类型选择为系统,生成文件名写mm ,栏目模板选择刚才添加的mb.html 文件,相关生成,都选ASP,如下图

点击查看原图



4 再进入栏目管理,选中木马上传栏目后面的栏目ID,点击生成栏目,如图点击查看原图



5 好了,再点击 预览 进入这个栏目的前台页面,呵呵好了,ASP小写生成了,可以上传ASP木马了

如下图所示,把压缩包内的大马传上,上传成功后,点查看文件,输入密码000000 接下了做什么,你可不能做坏事哟

点击查看原图

点击查看原图



呵呵,一定记得别做坏事,本着研究的精神即可,也希望官方尽快反这个漏洞给补上,

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
gzxqt 当前离线

113

主题

0

广播

0

粉丝
添加关注
级别:一年级

用户积分:513 分
登录次数:36 次
注册时间:2009/2/28
最后登录:2012/3/19
gzxqt 发表于:2010/12/5 21:00:32   | 显示全部帖子 查看该作者主题 沙发 
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
gzxqt 当前离线

113

主题

0

广播

0

粉丝
添加关注
级别:一年级

用户积分:513 分
登录次数:36 次
注册时间:2009/2/28
最后登录:2012/3/19
gzxqt 发表于:2010/12/6 8:28:56   | 显示全部帖子 查看该作者主题 藤椅 
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
gzxqt 当前离线

113

主题

0

广播

0

粉丝
添加关注
级别:一年级

用户积分:513 分
登录次数:36 次
注册时间:2009/2/28
最后登录:2012/3/19
gzxqt 发表于:2010/12/6 12:19:12   | 显示全部帖子 查看该作者主题 板凳 
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
<上一主题 | 下一主题 >
Powered By KesionCMS Version X1
厦门科汛软件有限公司 © 2006-2016 页面执行0.18750秒 powered by KesionCMS 9.0