Asp web shell

Started by kohx, 02 de December , 2008, 09:03:18 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Print
Go Down Pages1
User actions

kohx

02 de December , 2008, 09:03:18 PM
So roda em windows, geralmente com servidor IIS que suporta asp, aspx...

http://cysy.com.br/dw/k0hxmirror

/zehir4.txt


branco

#1
02 de December , 2008, 11:40:44 PM
não entendi, o que isto faz?
pelo que lembro no asp não tem como fazer RFI, portanto uma shell em asp seria meio estranho...
Olha o trem... Quem vai ficar, quem vai partir? Quem vai chorar, quem vai sorrir?

TEAM

#2
03 de December , 2008, 11:18:07 AM
Webshells não são usadas somente para RFI, em SQL injection em páginas rodando .asp é bem útil até.

branco

#3
03 de December , 2008, 12:14:59 PM
então no caso faria upload da shell por sql injection através da URL? uma shell daquele tamanho?
Dai quando o asp pegar a página e mostrá-la vai pegar a shell né?
Olha o trem... Quem vai ficar, quem vai partir? Quem vai chorar, quem vai sorrir?

TEAM

#4
03 de December , 2008, 01:42:22 PM Last Edit: 03 de December , 2008, 01:45:12 PM by TEAM
Em alguns casos você faria pela URL, mas também não é o único modo. No caso do MSSQL, por exemplo, se vc tiver altos privilégios(SA) você pode usar funções como cmdshell e poderia no caso pegar a shell de um servidor externo e mandá-la para o servidor.

Já no MySQL, acho que isso não é possível, mas você ainda pode fazer isso usando into outfile (pela URL).

Se você upar a shell toda vai mostrar a página normalmente.

Mas realmente como você disse, na maioria dos casos não vale a pena upar uma shell desse tamanho, principalmente no MySQL (além de que geralmente quando se usa bancos de dados MySQL se usa comumente SO's Linux).

kohx

#6
11 de February , 2010, 08:42:20 AM
Quote from: TEAM on 03 de December , 2008, 01:42:22 PM
Em alguns casos você faria pela URL, mas também não é o único modo. No caso do MSSQL, por exemplo, se vc tiver altos privilégios(SA) você pode usar funções como cmdshell e poderia no caso pegar a shell de um servidor externo e mandá-la para o servidor.

Já no MySQL, acho que isso não é possível, mas você ainda pode fazer isso usando into outfile (pela URL).

Se você upar a shell toda vai mostrar a página normalmente.

Mas realmente como você disse, na maioria dos casos não vale a pena upar uma shell desse tamanho, principalmente no MySQL (além de que geralmente quando se usa bancos de dados MySQL se usa comumente SO's Linux).

loves ur comment, vejo logo que és experiente.

mas falando sobre o MySQL, se vc usar o command line client com acesso root dar pra executar comandos do OS com system [comando], pelo menos eu, já fiz isso. :]

Bjx's;
Print
Go Up Pages1
User actions