本文把实际地址全都隐藏了。然后就是我没拿到Webshell,本文只是提供一些分析和思路,给学习检测网站安全的童鞋提供一些思路。 有很多童鞋只知道找编辑器,上传, 下载 ,注入,其他的呢。。。本文是写给那些想突破瓶颈的孩纸看的。 因为当时很晚半夜了都,所以只进行了半截。早上起来因为和我的日本女朋友有约会,所以也没继续,后来网站管理人员找我了,我就把问题报给他们了 后台是用万能密码进去的。这个我真的是没有想到。主站是用的wordpress,同服务器有个分站。这个分站的后台就是这个了 几个上传那里完全不能上传php,这是铁定的,想过无数办法了
而且后台也没有编辑器之类的,只有评阅啊之类的,也没有编辑什么的 那么我们来慢慢分析。引起我注意的是一个论文下载部分。 这里我觉得奇怪的是这样的事情,我选择了一个日期,然后点击[下载],系统反应很慢,然后给出一个上百MB的压缩包给下载。 我想如果我是这个程序编写者,后台没过滤有万能密码,那水平应该不是很高,所以系统不可能太复杂,我认为我能写出来的这个论文批量下载是这样的: 从客户端向SERVER提交一个POST数据包,这个数据包是一个日期,而系统从 数据库 或者目录里面进行筛选,满足这个日期的文档统统进行压缩打包,然后将打包好的压缩包提供下载,这个压缩包的命名就在之前POST的数据里面。 如果是从目录里面进行筛选,那么有没有可能POST一个文件夹的名字,然后让系统把这个目录的文件打包提供呢?或者说,系统打包好的文件放置于某个目录,然后通过提交POST数据,不下载压缩包,而下载别的文件呢? 这只是猜想。 我们来试着本地构造 html 进行POST数据,先POST一个单引号:
<form name="downloadclass" action="http:// HdhCmsTest2cto测试数据 /admin/downloadclass.php" method="post"> <select name="class"> <option value="'">'</option> <option value="404.php%00">404.php</option> </select> <input name="Submit" type="submit" class="button" id="Submit" value="下 载"/> </form>
我们来看看服务端返回的信息:服务器对POST的信息不做任何的验证或者过滤,直接带进去后面加.zip作为压缩包的文件名了,然后看我圈出来的函数 首先要解决的是后面加.zip的问题,这个其实很好解决,在IE中,如果是GET,只需要加个%00,这种是url编码 可是POST里面就不是这样了。%00就是\0就是截断字符。那么我们试着: 编辑器中被选取的两个字节的空白地方的地方不是空格,是用16进制模式编辑的0x0000 虽然不知道这样能不能达到的我的目的,也就是POST一个截断字符。不过似乎用IE来这样是不行的,要用其他的工具?
wordpress,后面就应该明白了
查看更多关于某后台安全性思路分析 - 网站安全 - 自学php的详细内容...