[just fun :)]

1.Path Disclosure

eg:
/archives/include/article.inc.php
/archives/include/global.php
/archives/include/index.inc.php
/include/fense.php
/include/seccode.php

2.从后台得到shell
/admin/database.php 行112-163

        $path = $_POST['path'];
 if (file_exists($path)) {
  redirect('文件已经存在,请选择其他文件名.', './admincp.php?job=database&action=backup',5);
 }
    $tables = $_POST['table'];
 $extension=strtolower(substr(strrchr($path,'.'),1)); //取最后一个.后面的判断
 if ($extension == 'sql') {
 
               ...............

          } else {
  redirect('备份生成文件的扩展名必须为.sql', './admincp.php?job=database&action=backup',5);
 }

在备用数据库时候只是简单的取最后一个.为标准，判断是不是sql，那么如果是apache服务器，先在数据库里插入我们的shellcode在备用后缀为.php.sql 的文件，里面的phpcode将被执行。

海洋顶端是很出名的 ASP 木马，我从红粉佳人版本开始就一直用它，也算是它的fans了，今年海洋顶端出了最新版本也是最后一个版本 —— 2006Plus。

身为fans，自然要拿来用用才是，初次使用感觉有了几个变化：界面变了，文件浏览不再是图标形式；所有动作改为POST方式提交；功能增加；……唉呀，赶紧打住，再写就变成广告了^_^

海洋顶端以往的各个版本密码都是明文存放的，这回 2006+ 专门有个 vbs 脚本用于加密密码。这几天闲得无聊，就来尝试分析一下它的加密方式。

加密密码的脚本是在 down 回来的 vbs 目录里面名为Encode.vbs的文件。先看代码，注释是我加的：

» 阅读全文