文章作者：udb311

入侵前期：话说今天某群员发我一个网站，有编辑器可上传文件。但就是无法上传到服务器，苦苦找不到拿shell的方法。

目标站分析：
1、后台地址：manger，万能密码可进入。
2、上传地址：upfile_flash.asp 动感商城上传漏洞，可生成diy.asp
3、编辑器上传：manger/webedit280/admin_login.asp可登录。

这个小站的漏洞可真多啊，分析完毕有几个办法都可以拿下它。但是为什么这么多方法都无法得到webshell呢？


第一步，先进入后台观察下，没有备份功能。上传jpg通过备份改名称是不行了。


第二步，登录ewebeditor编辑器后台，修改格式上传。

1、先添加asa上传，发现成功返回上传文件名称与地址但是访问地址确不存在。

不存在的原因可能有三种，一是被杀、二是目录无效或者不能写入，三是无ASA扩展。

2、再添加aaspsp上传,发现成功返回上传文件名称与地址但是访问地址确不存在。

注：先排除ASP扩展名问题，因为网站asp的就能解析。

3、换马继续上传，发现成功返回上传文件名称与地址但是访问地址确不存在。

注：排除马被杀的可能,上传一个asp的正常文件仍然如此。

4、上传jpg正常图片，发现成功返回上传文件名称与地址访问地址文件存在。

注：排除文件目录不写入的原因。

5、继续添加php,cer等上传类型，问题仍旧。


第三步，利用ewebeditor遍历目录查看网站文件。

1、发现根目录有upfile_flash.asp 动感商城上传漏洞，上传仍然无果。
2、发现网站目录存在diy.asp大马一只，心想用朔雪跑下密码也就拿下了。于是呼把马发给了那会群员。


空下来了，再仔细想想。网站只能上传jpg,gif.rar这类文件。那肯定是服务器有IIS防火墙或者是拦截系统把可执行程序都给过滤了。通过80端口提交的文件名称过滤了。防火墙或者拦截系统一般只设置指定的文件名如asa,asp,aspx,cer,php等，如果我变通一个，就可以绕过其过滤。想绕过asp,asa文件又能执行的，那只能利用IIS解析漏洞了。

这下就行了，还记得1.asp;2.jpg吗？通过ewebeditor后台样式添加aaspsp;或者asa;这种就可以成功上传得到webshell了。
成功拿下目标webshell，发现是一流信息监控拦截系统在作怪。
本文并无技术亮点，通过入侵实例可以开拓思维突破极限。欢迎大家指导学习！
--------------------------------------------------------------------------------
友情提醒：对于网站漏洞存在而不能完全杜绝的情况下，服务器采用信息拦截系统还是能阻拦一部分黑客入侵的。另外要告诉管理员朋友们的是，在设置这类系统的时候要考试全面些。只添加asp,asa,cer,aspx,php等正常文件还是不够的。要考虑到系统的存在的缺陷，把asp; asa; cer;等在IIS上能运行的扩展也添加上去。
--------------------------------------------------------------------------------