动网论坛7.0获得WebShell的分析

动网论坛7.0获得WebShell的分析(2)             end if 
            response.write "备份数据库成功，您备份的数据库路径为" &bkfolder& "\"& bkdbname 
        Else 
            response.write "找不到您所需要备份的文件。" 
        End if 
end sub 


上面的代码就是执行备份操作的函数，已经很易懂了，只要Dbpath存在，就直接把数据库复制到指定目录，可能开发者以为入侵者无法进入后台(万一骗来或监听到的呢)，所以并不对这个地方进行检查，没有检查是否为真正的数据库，所以我们就可以利用这里复制我们上传的“图片”。 

ACCESS版的利用 

我们在发帖那上传一个写有asp代码的假图片，然后记住其上传路径，比如UploadFile/2004-6/20046272411024.jpg，然后进入后台的“备份数据库”那，按照下面的格式填写： 

当前数据库路径(相对路径)：UploadFile/2004-6/20046272411024.jpg 
备份数据库目录(相对路径)：随便找个目录 
备份数据库名称(填写名称)：改为webshell.asp 

然后提交就可以得到WebShell了。 

SQL版的分析 

还是备份数据的地方，你别看这里教你如何用SQL企业管理器来操作，其实可利用的正在里面，不要被表面的现象蒙蔽了，我们看看admin_data.asp文件的以下代码： 
case "RestoreData"        '恢复数据 
    admin_flag=",32," 
    dim backpath 
    if not Dvbbs.master or instr(","&session("flag")&",",admin_flag)=0 then 
        Errmsg=ErrMsg + "<BR><li>本页面为管理员专用，请<a href=admin_index.asp target=_top>登录</a>后进入。<br><li>您没有管理本页面的权限。" 
        dvbbs_error() 
    else 
        if request("act")="Restore" then 
            Dbpath=request.form("Dbpath") 
            backpath=request.form("backpath")