一次web入侵记录

时间:2006/4/1 18:14:29      阅读:2393          
      前两天上QQ,一直没有好友上线,无聊之下又到BBS下乱逛,在BBS上发现了一个帖“经典的OA系统”,呵呵,以前曾收藏有不少好东西,很久没碰这东西了,好奇就看了一下,没想到还附有测试用户和密码,哈哈,要是是一好的OA还是不错的,就登陆进入看了一下,也没什么,这OA也是以前收藏过的东西,就是拿来改了一下介面,一眼就能看出来,虽然收藏有这个东西,可倒是没好好研究过,是.NET的东西,就随便看了一下,没看倒没事,一看,哈哈,看出问题了,OA居然有问题,有附件上传功能,随便找了一个WebShell上传了,点击上传的webshell,显示“无法找到该页”,难道服务器装的杀毒软件把webshell杀了?重新把webshell处理了一下再上传,这下可以打开了,再往下点击又出现“无法找到该页”,怎么了?明明有这个文件了,再重新点击,没问题,往下点就打不开了,郁闷了,仔细看了一下地址栏上面,发现有一个特殊字符“ %5c ”,嘿嘿,懂的一点网页程序的人应该都懂得是怎么回事了,%5c是\的url编码,把%5c替换成\,再重试,OK了,服务器的全部盘符都显示出来了,再往下浏览,哈哈,居然全部盘符都可以打开,这管理员可是一个真正SB,磁盘权限都没设置过,再看了一下硬盘的东西,还不少源代码的程序,这个OA就带有源代码,不过这些东西我早就收藏有了,没什么我想要的,算了,走人(走人之前可以把你做过的东西清理掉呵,要不你可麻烦了,嘿嘿)。
      估计这台机器也是临时的服务器,用处不大,没必要再花时间去拿到管理员的shell,不过应该拿到shell也不难,还是讲点所谓的“职业道德”吧。
      小结:写出来的程序就一定要测试一下安全性,不要盲目相信网上所谓免费的程序,有不少东西都留有后门或是漏洞,没经过检查直接拿来使用真正吃亏的还是自己。
评论
  • Re:一次web入侵记录  (2006/8/4 17:16:16) by 飘萍 
    很多程序都有这样那样的漏洞,只不过树大招风,人气好的程序才有人研究的多点。
  • Re:一次web入侵记录  (2006/11/28 17:30:15) by 游栋 
    是什么OA啊,能不能共享啊。
  • Re:一次web入侵记录  (2009/3/2 14:45:25) by weilen 
    最好讲一下什么系统,也好堵啊。
标 题:
 
姓 名:
 
主 页:

验证码:

评论:
 

Because of the cache,you may see your comments several minutes later.