您现在的位置: 
3. 郁闷的心情
轻而易举的突破了动网后台的限制,本来是该高兴的事情,可是我却怎么也高兴不起来。看到有个恢复数据库功能,于是试下用恢复数据库功能来写个asp的木马。用上面的方法构造一个写入asp木马的数据库然后改为gif格式恢复成一个asp文件自然是成功的得到了webshell,可是经过我的测试不用这么复杂也成功了。像往常一样在发表贴子的地方上传个带马的图片,如图7:
图 7
记下地址然后进后台直接恢复数据库为一个asp文件,如图8:
图 8
点恢复数据就得到一个webshell了,如图9:
图 9
从这里可以看出,data.asp里没有对恢复数据库功能进行任何的检测,既然检测了备份数据库的功能,为什么不对恢复数据库功能也检测呢?难道就因为黑客们都用备份数据库来黑网站吗?这也正是我郁闷的一点,国内的脚本程序员的素质是一个问题。
