下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 2868|回复: 14
打印 上一主题 下一主题

论坛管理员来看看吧

[复制链接]
天外流星 该用户已被删除
跳转到指定楼层
1
发表于 2004-5-24 22:09:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
打开下面这个连接- Q' D: s' s4 _3 @. _: f; X5 n5 J
http://bbs.echot.net/UploadFace/20045242285039363.gif
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 顶 踩
  • TA的每日心情
    奋斗
    昨天 10:07
  • 签到天数: 2385 天

    [LV.Master]伴坛终老

    2
    发表于 2004-5-24 22:15:00 | 只看该作者
    谢谢你,请和我联系一下
    天外流星 该用户已被删除
    3
     楼主| 发表于 2004-5-25 11:40:00 | 只看该作者
    上传文件之后把首尾的代码去掉不就这样了吗,呵呵,晕 {仅仅是引起注意而已}
    ' K2 [+ k1 m& m) G2 \7 ^! L) i5 A, R  B( R
    问题是, 这个 ASP 文件怎么上传进来的,而且被错误的执行为 gif 文件,如果这个asp带有病毒的话,就会有很多电脑受害。
    9 ~- J& ?" l+ T( Y+ }" y* A! T
    / M9 d" Y  ]+ P& b9 V8 L* K我也不知道怎么解决,联系我也没用,反正这是动网论坛上传文件的漏洞,你编程水平很高的话自己修改原代码吧,或者等待动网论坛的官方补丁,相信很快就出来了
    ( m  d* C( r" A! o2 w% T  o
    8 q5 \- U0 d' A! r: M# I
    0 x) [0 @1 r! {) q$ G1 p
    edge005 该用户已被删除
    4
    发表于 2004-5-25 12:07:00 | 只看该作者
    晕,这样都行,煎饼遇到难题了呵
  • TA的每日心情
    慵懒
    2014-10-21 10:00
  • 签到天数: 2 天

    [LV.1]初来乍到

    5
    发表于 2004-5-25 12:21:00 | 只看该作者
    设置一下 uploadface 不能执行程序就好了

    该用户从未签到

    6
    发表于 2004-5-26 05:55:00 | 只看该作者
    没那么简单!直接把这个uploadface 删除了
  • TA的每日心情
    慵懒
    2014-10-21 10:00
  • 签到天数: 2 天

    [LV.1]初来乍到

    7
    发表于 2004-5-26 12:02:00 | 只看该作者
    设置过权限之后就不能执行程序了,html没有什么用

    该用户从未签到

    8
    发表于 2004-5-27 13:51:00 | 只看该作者
    好象在哪本书上介绍过!3 ~1 R' n# w! }- N
    动网6.0 6.1 都有这个漏洞!6 }- w' n0 Z" [2 U3 S
    如果构造下 javascript代码还可能会得到会员和管理员的cookie,这个听起来很可怕啊!
    2 I# {) u' u! m$ Y8 g

    该用户从未签到

    9
    发表于 2004-5-27 15:46:00 | 只看该作者
    这个是动网论坛的上传文件漏洞
    * s; }% x3 i+ J; F主要问题出在asp无组件上传的代码中,以下这一句上. j: e/ ?" P- \" U/ ]4 _3 [
    filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt
    $ F* ?: A& S; ~' i这句话将一段字符串合并起来,生成保存的文件名filename,formPath是表单提交的变量。! b( o6 I0 U/ J$ p
    如果设法构造formPath:在计算机中检测字符串的关键就是看是否碰到'\0'字符,如果是,则认为字符串结束了.也就是说我们在构造上传文件保存路径时,只要欺骗计算机,让他认为类似"uploadface\zwell.asp"这样的路径参数已经结束了,这样,后面一连串的时间字符我们都可以不要,从而达到直接将文件保存为我们定义的文件名的目的。. A+ o; E/ y5 {; G  g' }$ A
    因此,在构造的POST数据包中,将表单中的filepath改成类似uploadface\zwell.asp'\0'的字符串然后发送出去就行了。& C$ U; E- q. D
    也就是说,恶意提交的formPath中只要包含'\0',filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt语句得到的
    7 [, a! X, t( D/ dfilename就只有formPath了,后面的&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt部分都给丢弃乐,因此可以随意生成.asp等文件了。8 k# x7 L' x  j- \* [5 i; S
    解决方法,我想在filename=之前,先对formPath的内容进行过滤,把'\0'改成空格什么的,就可以防止这个漏洞了。asp我不熟悉,不知对'\0'检测用什么语句可以1 Z% U8 z: z# ]1 t4 |
    关于这个漏洞的详细说明,见http://www.xfocus.net/articles/200405/700.html% D; |! ^! W8 W) O) J& C7 J
    雨中蝎子 该用户已被删除
    10
    发表于 2004-5-28 10:25:00 | 只看该作者
    偶八是斑竹,先闪过。。。。
  • TA的每日心情
    奋斗
    2015-9-17 00:58
  • 签到天数: 1 天

    [LV.1]初来乍到

    11
    发表于 2004-5-28 17:55:00 | 只看该作者
    呵呵,一个不大不小的漏洞,不过这个也不是用javascript可以利用的,要写socket程序才可以利用。

    该用户从未签到

    12
    发表于 2004-5-28 19:26:00 | 只看该作者
    呵呵~!* K% V# I7 S7 k" i, B
    1 W% J1 j: s4 E2 Q  O
    这个问题应该说比较严重!/ y7 }) W6 y$ E
    & w- @- t+ l% ?  {" _6 d" z8 m0 \
    稍不注意就会泄露cookie,被人利用!( Z- Z6 P  P. O

    / w  p  w+ X7 q0 h/ E1 J' \! d4 U
    8 @+ M1 K. J* ?  f7 g
    [此贴子已经被作者于2004-5-28 19:30:37编辑过]

    + R8 \) B' m2 O' }3 Q2 ~8 [

    该用户从未签到

    13
    发表于 2004-5-28 22:03:00 | 只看该作者
    以下是引用yzhlinux在2004-5-28 17:55:55的发言:. z# E$ `2 O" t: [- T+ E, Z 呵呵,一个不大不小的漏洞,不过这个也不是用javascript可以利用的,要写socket程序才可以利用。
    " ^5 e; X: g6 y: S# O( e$ ~1 k 如果先用sniff软件抓出正常POST数据,稍作修改,保存为aa.txt# C% f7 c3 ?& H 然后telnet IP 80 . u' N9 e. u3 v: _/ b z& X 就可以利用这个漏洞上传文件了 ,不用编写程序 ^^)# f: A6 k! [3 J! e" C9 f 8 {7 _" m6 E- X
  • TA的每日心情
    慵懒
    2014-10-21 10:00
  • 签到天数: 2 天

    [LV.1]初来乍到

    14
    发表于 2004-5-30 16:55:00 | 只看该作者
    找到 post_upfile.asp、upfile.asp、z_visual_upfile.asp、NF_visual_upfile.asp、saveannouce_upfile.asp等上传文件(包括所有插件中的上传文件) * {' P$ u$ Y3 _1 ?" d9 T T. i8 h X( \9 N! [ 查找文件中的代码: , m* K) o7 H% m+ i9 j FileExt=Lcase(File.FileExt) 0 `! Y. k, ]! v7 M! w '判断文件类型) I0 a4 L) m6 I- K% ]6 T9 a, { If CheckFileExt(FileExt)=false then2 }3 x4 b+ b# j Response.write "文件格式不正确,或不能为空 [ 重新上传 ]" " W. b7 e$ f7 d/ R- G! q EXIT SUB 6 |5 H! n/ F7 u# B End If, e' b- A: M! K 8 Y% y; d w+ G- {) \& Z 将其中的! P# O I, X/ }! u# Z FileExt=Lcase(File.FileExt) $ l5 G# D% v9 W, U0 n, m: ~7 g- _2 S0 x2 { F 替换为下面代码: % K% t4 h! v7 e( z9 c/ U$ b Y3 D7 i1 [3 o) r' J, i8 G1 U" QFileExt=FixName(File.FileExt) 3 T- b1 ?; ~7 `/ _! K+ T R" ]4 D' x" f8 F4 ? formPath= Replace(Replace(formPath,Chr(0),""),".","") }9 L/ x8 Y# }. ^- d4 E, s: Q) G 下面的代码放在asp文件的最后 "%>"前 * r" M# o+ o$ @6 l, ]Function FixName(UpFileExt) ( s p, L3 N H/ ?9 WIf IsEmpty(UpFileExt) Then Exit Function; u/ N- r" }" D6 P FixName = Lcase(UpFileExt) $ t- ^" W( H4 `$ T: w2 GFixName = Replace(FixName,Chr(0),"") 2 V* `1 L5 u& ^' IFixName = Replace(FixName,".","") " w9 V$ d. Z @! S/ J0 eFixName = Replace(FixName,"asp","")7 P) ?6 i) v% y4 R2 M FixName = Replace(FixName,"asa","")9 e, D& a# x+ I1 ~! i" `7 d: k FixName = Replace(FixName,"aspx","")1 i; u) ^9 C3 {! }, d: M4 K- ?; N FixName = Replace(FixName,"cer","") ) n; u; Y" m; qFixName = Replace(FixName,"cdx","")" p" x$ t( d3 P5 s0 v) z* L FixName = Replace(FixName,"htr","") / q( P, w f: y; R( Q FixName = Replace(FixName,"php","") 7 H0 [5 I. A" h; z$ h& X9 ZEnd Function / \' L y6 K! b" d. \6 V0 r 5 h& }6 } \ `" e4 T. @4 d; a+ l2 c3 ^

    该用户从未签到

    15
    发表于 2004-5-30 17:32:00 | 只看该作者
    我认为主要应该对提交的文件全路径filepath进行过滤2 m" j  v* }  A7 c' s# ]
    例如提交一个uploadface\aaa.asp+'\0'+.jpg 文件,从文件的扩展名File.FileExt得到的是合法的.jpg文件类型,但是利用漏洞上传后,产生为aaa.asp 非法文件,则才是这个漏洞的关键。
    7 g6 r3 U9 {  C) L( y! K, O$ w+ ~" D
    ‘我累了‘前面提到的禁止uploadface目录的执行和脚本权限也许可防范。: f- w% s- ], u6 J% P. c

    ( _" Z* H* l; b$ |不过不知道Dvbbs 是否对上传的路径进行了限定,否则把filepath改成"c:/winnt/aa.exe+'\0'+.jpg 或者../../../aa.exe+'\0'+.jpg 什么的,这洞就有点大了9 I5 o" `2 |5 q1 v3 ^% S, f) Q$ G

    * i( A: z6 \' g  N- `- E1 A* z
    [此贴子已经被作者于2004-5-30 17:43:02编辑过]

    & @& e) H9 n2 O; ^

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表