动网8.0后台Webshell大作战

动网论坛一直是国内比较受欢迎的ASP论坛程序，现在最新版本已经到8.0了。很多朋友说进了动网8.0的后台不会拿Webshell。这几天和朋友路人甲研究了一下，发现动网8.0也是可以成功拿到Webshell的，不过限制也比较大！

一、后台备份

利用这个方法拿，需要满足两个条件：

1、服务器使用IIS6.0
2、动网论坛后台能备份
这个方法主要是利用了IIS6.0的缺陷，与动易后台拿Webshell的方法类似。至于如何确定目标用的是IIS6.0，我们可以用IIS PUT Scaner扫描一下80端口（就是扫描IIS写漏洞那个工具）。首先，我们得找到一个使用动网8.0的论坛并要可以进入它的后台（可以下载默认数据库查看密码进入后台）。我找了一个以作测试，用的是IIS6.0版本的。用默认的用户名（admin）密码（admin888）进去的，嘿嘿，如图1。

动网8.0如果想通过更改“上传目录设定”为x.asp这样的文件夹，再前台上传插了ASP一句话的假马是行不通的。因为只要你把“上传目录设定”改成x.asp，前台就无法上传文件了！就算是上传完文件再去更改文件夹名也是行不通的。因为你上传后的文件放在原来的UploadFile文件下，而不是你更改后的x.asp文件夹下！可能就因为这样，有些朋友才觉得动网8.0拿Webshell不容易吧。现在我们的目的很明确，简单地说就是：上传一个插了ASP一句话的空数据库文件，再把它弄到诸如x.asp这样的文件夹下就可以成功得到Webshell了！至于绕过动网的文件属性检查，从而在前台上传文件的方法和动网7.1一样，用“蓝鱼动网空数据库合并器”合成一个空的数据库文件就可以了。然后就是用管理员的ID或者其他ID到前台发帖（或编辑帖子也可以）上传空数据库文件了。我把空数据库文件的名字改为1.txt，这样做的目的是为了绕过动网上传限制。因为.txt后缀是允许上传的，但.mdb后缀的文件不允许上传哦！然后到后台找到我们上传的1.txt，为什么要进后台呢？因为我们要先知道1.txt的路径才能备份嘛。但前台又方便得到路径，只好进后台咯。进入后台，“文件管理”—“上传文件管理”—“快速查询”，选择查询条件“最近24小时内上传的附件”，就可以看到上传的确1.txt已经躺在那里了，如图2。

这时候我们直接点击文件名就可以打开访问到1.txt，从而得知它的相对路径了。比如，我这里得到的相对路径为UploadFile/2007-7/200772011483217202.txt，直接打开是空白的。接下来就是备份咯，在后台找到“数据处理”—“备份数据库”。在“ 当前数据库路径(相对路径)：”里填上UploadFile/2007-7/200772011483217202.txt，在“备份数据库目录(相对路径)：”里填上x.asp，在“备份数据库名称(填写名称)：”里填上x.mdb，如图3。

这里有几点需要注意，数据库目录必须含有.asp字符，数据库名称必须含有.mdb字符。因为动网8.0备份数据库后的文件名必须为.mdb后缀，如果不这样的话，就无法备份哦！填好这些后，直接点击“确定”，提示 “备份数据库成功，您备份的数据库路径为../x.asp/x.mdb”，如图4。

虽然后缀为.mdb，但是它在x.asp这个文件夹下，在IIS6.0环境下可以被正常解析执行哦。再用一句话客户端连接上去，成功得到一句话的Webshell了哦，如图5。

然后又利用一句话上传了个大马，也都成功了，嘿嘿，如图6。

到这里，我们就成功的在动网8.0的后台拿到了Webshell咯。至于想像以前的动网后台那样，想上传假马，然后备份成.asp文件，那是行不通的了，因为动网8.0的备份只认.mdb文件！

二、添加上传

第一种方法的适用性比较大，但下面介绍这个方法可以作为第一种方法拿不到时的补充。动网8.0不允许上传诸如asp、asa、cer、htr等后缀的文件，即使你后台添加上上传该类型的文件也不能成功上传的！但是却百密一疏，允许上传.php后缀的文件！这样我们就有机可乘了，嘿嘿。进入后台，在“常用快捷功能”下找到“论坛版面管理”，如图7。

随便找一个版块，进入“高级设置”，找到“上传文件类型”，添加上一个php文件类型，如图8。

然后拉到下面，点击“提交”保存设置。再到前台发帖上传.php后缀的PHP大马，如果服务器当前目录支持PHP脚本，那就可以拿到Webshell了，不过要是不支持的话那就可惜了！找Webshell地址的方法上面提到过，就不再废话了。

目前发现的就这两个方法能在动网8.0后台拿Webshell了。如果大家发现还有什么别的办法，欢迎到X论坛或者是十六进制论坛找我讨论下。

可以飞翔了，呵呵~~但是心里影印是没那么快抹去的！