最近学习这方面的东西,在遇到个目标之后,是一个虚拟主机,装了一流监控,后台上传jpg备份,然后浏览器打开空白,由于刚刚接触这个,旁注的时候遇到了ewebeditor的后台,后台默认账户密码登录,登录之后修改样式,添加文件类型,asa就可以了,发现只要有<%
这样的都不会被解析,遇到问题自然要多搜索,终于找到了解决方法,留待以后查询。
使用一款edjpgcom的工具,将一张常规图片,加上一句话木马,然后上传上去,然后再上传一个asa文件,使用include包含的被修改过的图片,基本上就是这样:
<!--#include file="201204032211.jpg"-->
然后用菜刀或者一句话木马客户端都可以连接后上传的那个asa文件,另外一流监控有个目录可以写入C:\7i24.com\
,暂时就这些把,如果以后遇到问题还会继续补充。
转载请注明: 本文《突破一流监控上传webshell》来源于bstaint的博客
没有评论:
发表评论