主要是利用后臺對access數(shù)據(jù)庫的“備份數(shù)據(jù)庫”或“恢復(fù)數(shù)據(jù)庫”功能,“備份的數(shù)據(jù)庫路徑”等變量沒有過濾導(dǎo)致可以把任意文件后綴改為asp,從而得到webshell，msssql版的程序就直接應(yīng)用了access版的代碼,導(dǎo)致sql版照樣可以利用,具體方法和分析可以參考angel的文章《動網(wǎng)論壇7.0獲得WebShell的分析》,據(jù)我所知,目前還有很多的asp程序后臺存在這樣的漏洞,利用方法大同小異。

php+mysql程序

① 利用后臺的數(shù)據(jù)查詢功能

在有的程序后臺提供直接對mysql數(shù)據(jù)查詢功能，我們就可以利用它執(zhí)行SELECT ... INTO OUTFILE查詢輸出php文件，因為所有的數(shù)據(jù)是存放在mysql里的，所以我們可以通過正常手段把我們的webshell代碼插入mysql在利用SELECT ... INTO OUTFILE語句導(dǎo)出shell。我們這里用ipb論壇做個演示：

第一步:把我們的webshell代碼寫入數(shù)據(jù)庫

隨便找個可以寫入的地方（注意對你輸入的要沒有進(jìn)行過濾），這里我們就用后臺的新建立個論壇，在論壇描敘里寫入我們的shell代碼 提交 ok這樣就把我們的shell寫入了數(shù)據(jù)庫了。

第二步:導(dǎo)出webshell

我們來到“SQL Management”里的“mySQL Toolbox”在“Run Query”里寫入語句：

SELECT * FROM 123forums into OUTFILE 'd:shell.php'

shell代碼所在的表，web目錄絕對路徑，如果主機(jī)mysql查詢成功，我們就得到我們webshell：

http://127.0.0.1/test/shell.php?c=dir

② 利用mysql數(shù)據(jù)備用

思路結(jié)合上面的2種情況，有的程序在備用數(shù)據(jù)庫時 對備用文件的類型沒有限制，從而導(dǎo)出php文件，我們和①中那樣，通過把webshell代碼寫入數(shù)據(jù)庫中，在利用數(shù)據(jù)備用導(dǎo)出webshell，我們大家熟悉的vbb論壇就可以用這個方法來得到webshell，我們設(shè)置用戶的簽名為 然后到后臺的數(shù)據(jù)庫備份，在“在服務(wù)器上備份數(shù)據(jù)庫到文件”里改為shell.php，提交保存。我們就可以在論壇的根目錄下訪問我們的shell了，因為可能到處的文件比較大，我們可以換一個可以生成文件的webshell代碼。

補充思路:利用web后臺系統(tǒng)設(shè)置,如果是系統(tǒng)設(shè)置是保存在php/asp文件了,我們可以同過在設(shè)置里寫入webshell代碼到保存設(shè)置的php/asp文件了.

演示:程序sablog,sablog的基本設(shè)置保存在adminsettings.php 由于后臺在提交設(shè)置的變量十沒有過濾,導(dǎo)致我們可以向adminsettings.php寫入任意代碼。

進(jìn)入后臺--“基本設(shè)置”--“blog名稱”(其他項也可以)--填入代碼：sss";phpinfo();"ss --提交。

這樣我們就把phpinfo()寫入了adminsettings.php，我們可以看到adminsettings.php正常顯示php的信息.