------通过动网论坛8.2任意文件上传漏洞获取webshell

下午通过注入点获得了一个站的后台账号密码，但却没有找到后台地址。不过站点居然还有一个不小的论坛，用的是DVBBS的8.2版本。

貌似动网论坛的漏洞挺多的，首先看看它的数据库能不能下载，默认地址是/data/dvbbs8.mdb，发现居然可以下载，于是我成功拿到一个20来M的数据库，里面除了包含有管理员的账号密码，还有超过900个会员的信息。可见站点漏洞带来的危害！

{#ematt:60}

继续，读取mdb文件获得管理员账号密码，进入后台。前面说了，dvbbs有很多漏洞，但是这个站是8.2的版本，已经是比较新的了(现在最新的是8.3)，漏洞也随着版本的不断更新慢慢减少。比如，后台备份数据库的功能已经被官方删除了：

{#ematt:64}

但是微软的IIS6.0的解析漏洞加上动网的上传漏洞还是给我们的渗透提供了机会。网上提供的漏洞信息表示注册用户就可以获得通过上传一个.asp;.gif文件来获得webshell，但是我试了，好像只有管理员登陆后前台才有如下上传框(可能是漏洞被部分修补了)：

{#ematt:61}

这个地址在/Dv_plus/myspace/script/filemange.asp文件里。你也可以在前台点击"我的主页-个人空间管理-自定义风格-文件管理"进入这个页面。

把asp木马后缀改成asp;.gif，就可以上传成功:

{#ematt:62}

成功获得webshell:

{#ematt:63}

不过要注意，这个解析漏洞只存在于iis下(好像是6.0)，Apache也有解析漏洞，不过不在今天的讨论范围内。