突破一流监控上传webshell

最近学习这方面的东西，在遇到个目标之后，是一个虚拟主机，装了一流监控，后台上传jpg备份，然后浏览器打开空白，由于刚刚接触这个，旁注的时候遇到了ewebeditor的后台，后台默认账户密码登录，登录之后修改样式，添加文件类型，asa就可以了，发现只要有<%这样的都不会被解析，遇到问题自然要多搜索，终于找到了解决方法，留待以后查询。

使用一款edjpgcom的工具，将一张常规图片，加上一句话木马，然后上传上去，然后再上传一个asa文件，使用include包含的被修改过的图片，基本上就是这样：

 <!--#include file="201204032211.jpg"-->

然后用菜刀或者一句话木马客户端都可以连接后上传的那个asa文件，另外一流监控有个目录可以写入C:\7i24.com\，暂时就这些把，如果以后遇到问题还会继续补充。

转载请注明: 本文《突破一流监控上传webshell》来源于bstaint的博客