下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 2872|回复: 14
打印 上一主题 下一主题

论坛管理员来看看吧

[复制链接]
天外流星 该用户已被删除
跳转到指定楼层
1
发表于 2004-5-24 22:09:00 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
打开下面这个连接! y" _* Z  F; R% {5 v
http://bbs.echot.net/UploadFace/20045242285039363.gif
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 顶 踩

该用户从未签到

15
发表于 2004-5-30 17:32:00 | 只看该作者
我认为主要应该对提交的文件全路径filepath进行过滤
4 A  K% c, W/ o( ^例如提交一个uploadface\aaa.asp+'\0'+.jpg 文件,从文件的扩展名File.FileExt得到的是合法的.jpg文件类型,但是利用漏洞上传后,产生为aaa.asp 非法文件,则才是这个漏洞的关键。; V4 _% L7 W5 Y# g5 b& Q# M% g
3 i1 _3 K+ M$ ]
‘我累了‘前面提到的禁止uploadface目录的执行和脚本权限也许可防范。. t7 p' t) l2 h: h3 C# C

9 Q8 m3 T9 [2 H$ p( H# m/ k不过不知道Dvbbs 是否对上传的路径进行了限定,否则把filepath改成"c:/winnt/aa.exe+'\0'+.jpg 或者../../../aa.exe+'\0'+.jpg 什么的,这洞就有点大了$ P5 O" G0 O, X4 x0 U

7 U$ S" H7 t, l  U; Q
[此贴子已经被作者于2004-5-30 17:43:02编辑过]

/ x. \1 `3 O" @2 y0 p
  • TA的每日心情
    慵懒
    2014-10-21 10:00
  • 签到天数: 2 天

    [LV.1]初来乍到

    14
    发表于 2004-5-30 16:55:00 | 只看该作者
    找到 post_upfile.asp、upfile.asp、z_visual_upfile.asp、NF_visual_upfile.asp、saveannouce_upfile.asp等上传文件(包括所有插件中的上传文件)" g' L7 g. e" {/ k3 Z% N( } . B9 q2 Q! H# |" g查找文件中的代码:3 D, A# C2 B% r9 w. M8 i4 p- ` FileExt=Lcase(File.FileExt) ; a) h, b/ v7 t2 } '判断文件类型4 W: q1 Q" _/ q9 V If CheckFileExt(FileExt)=false then5 H) d# R6 b1 z& r4 w Response.write "文件格式不正确,或不能为空 [ 重新上传 ]"4 A; N" u6 ?4 e" @ v EXIT SUB : H2 d/ E( |% C' T' K End If ! V* V( a: _. { X" s2 r $ x+ o$ `& y, x2 r# M将其中的+ e% ^, o& W, [+ h* z FileExt=Lcase(File.FileExt)8 Y! r1 [6 g! I % \ s2 M# j+ J& n7 X. Q 替换为下面代码: 1 p" X8 k% s* e {1 ^. t 1 z$ j' Q% |: ~# [3 m2 n1 H+ XFileExt=FixName(File.FileExt) 6 b: c8 z# r4 E1 r) f7 Z. j/ P. W/ \6 k* L. F; | formPath= Replace(Replace(formPath,Chr(0),""),".","") 1 ^4 {; {- {4 _ p/ f# y 4 S) n; H1 ^+ _2 o; _! c下面的代码放在asp文件的最后 "%>"前& F) \; @/ w. m" @! T' a4 B- g Function FixName(UpFileExt) 5 c/ b" L' q" R8 `$ @# _5 H4 uIf IsEmpty(UpFileExt) Then Exit Function 5 d' n0 B1 Q3 t/ s) v! c6 LFixName = Lcase(UpFileExt) 2 G8 U7 F) s6 y$ D- vFixName = Replace(FixName,Chr(0),"") : F& y" U+ A9 r; Z) SFixName = Replace(FixName,".","") 3 {* G" C# b o9 }FixName = Replace(FixName,"asp","") # x% S3 O* M+ `7 l3 h- lFixName = Replace(FixName,"asa","")' p* ^( M3 p) i! z) K5 V! U FixName = Replace(FixName,"aspx","") 3 \% e e$ t; Q3 Y7 s: WFixName = Replace(FixName,"cer","")$ P. n- M" A: ~4 s6 L; j FixName = Replace(FixName,"cdx","") - N+ Q' L( Y( Y/ a, Z5 B( bFixName = Replace(FixName,"htr","") $ j! f- @& n; G( h7 { FixName = Replace(FixName,"php",""). v) [- a3 w0 u M0 b& c8 { End Function1 n7 B1 ?- y6 z, z- \ ( y+ b. H2 }# b; [/ N! T% e & T2 H! `; h0 U9 a- @' @1 F4 ]

    该用户从未签到

    13
    发表于 2004-5-28 22:03:00 | 只看该作者
    以下是引用yzhlinux在2004-5-28 17:55:55的发言:% v0 d% o& o p$ C. p' b 呵呵,一个不大不小的漏洞,不过这个也不是用javascript可以利用的,要写socket程序才可以利用。
    7 V# S' ^, S; i8 M" N( f# J 如果先用sniff软件抓出正常POST数据,稍作修改,保存为aa.txt% [/ y6 ^* a: a2 c I" e/ A0 v2 ? 然后telnet IP 80 + d8 G# m- ]" O% [ 就可以利用这个漏洞上传文件了 ,不用编写程序 ^^)0 N5 u3 g$ N; j+ ~ / Q3 `& \) f Z' S

    该用户从未签到

    12
    发表于 2004-5-28 19:26:00 | 只看该作者
    呵呵~!, D3 }/ m7 w' X, y
    $ s9 ~) p* y5 G1 N- A
    这个问题应该说比较严重!
    2 z, G8 U; J2 f8 r, \+ s2 _% N' B* @1 v  Q: u
    稍不注意就会泄露cookie,被人利用!2 g1 b2 m0 h2 Q5 l5 R" Z

    4 b9 N% u- U/ A2 G: C. ?1 T
    % p+ R" y! J$ m+ M3 w. q1 K
    [此贴子已经被作者于2004-5-28 19:30:37编辑过]

    ' E3 O2 J2 [/ e+ i
  • TA的每日心情
    奋斗
    2015-9-17 00:58
  • 签到天数: 1 天

    [LV.1]初来乍到

    11
    发表于 2004-5-28 17:55:00 | 只看该作者
    呵呵,一个不大不小的漏洞,不过这个也不是用javascript可以利用的,要写socket程序才可以利用。
    雨中蝎子 该用户已被删除
    10
    发表于 2004-5-28 10:25:00 | 只看该作者
    偶八是斑竹,先闪过。。。。

    该用户从未签到

    9
    发表于 2004-5-27 15:46:00 | 只看该作者
    这个是动网论坛的上传文件漏洞, a: M6 w9 y1 {3 n- q- m" V
    主要问题出在asp无组件上传的代码中,以下这一句上
    9 a" o* n$ ]8 a- }/ Qfilename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt7 W! q- w$ g* e9 D" J# ?
    这句话将一段字符串合并起来,生成保存的文件名filename,formPath是表单提交的变量。9 U" E' C3 o$ ~; @( L% {
    如果设法构造formPath:在计算机中检测字符串的关键就是看是否碰到'\0'字符,如果是,则认为字符串结束了.也就是说我们在构造上传文件保存路径时,只要欺骗计算机,让他认为类似"uploadface\zwell.asp"这样的路径参数已经结束了,这样,后面一连串的时间字符我们都可以不要,从而达到直接将文件保存为我们定义的文件名的目的。
    / F9 e6 v8 b6 S) U% }: R因此,在构造的POST数据包中,将表单中的filepath改成类似uploadface\zwell.asp'\0'的字符串然后发送出去就行了。- T) M3 u  ?, v; e% V3 ?" b
    也就是说,恶意提交的formPath中只要包含'\0',filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt语句得到的
    " E$ ?# L) M: {+ [2 O3 X/ D5 [% R/ ufilename就只有formPath了,后面的&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt部分都给丢弃乐,因此可以随意生成.asp等文件了。
    , ?* d: v# t: ]- I8 }解决方法,我想在filename=之前,先对formPath的内容进行过滤,把'\0'改成空格什么的,就可以防止这个漏洞了。asp我不熟悉,不知对'\0'检测用什么语句可以- h0 `; f/ x# {" F; V. K! A
    关于这个漏洞的详细说明,见http://www.xfocus.net/articles/200405/700.html
    9 E" O9 X" o- C. u1 P0 e3 M

    该用户从未签到

    8
    发表于 2004-5-27 13:51:00 | 只看该作者
    好象在哪本书上介绍过!
    ; r1 e4 Y" D$ |1 Q8 {* F* s6 z动网6.0 6.1 都有这个漏洞!, v' r0 {( M  i: J+ p6 J% c
    如果构造下 javascript代码还可能会得到会员和管理员的cookie,这个听起来很可怕啊!' }7 n% E- N' q- F
  • TA的每日心情
    慵懒
    2014-10-21 10:00
  • 签到天数: 2 天

    [LV.1]初来乍到

    7
    发表于 2004-5-26 12:02:00 | 只看该作者
    设置过权限之后就不能执行程序了,html没有什么用

    该用户从未签到

    6
    发表于 2004-5-26 05:55:00 | 只看该作者
    没那么简单!直接把这个uploadface 删除了
  • TA的每日心情
    慵懒
    2014-10-21 10:00
  • 签到天数: 2 天

    [LV.1]初来乍到

    5
    发表于 2004-5-25 12:21:00 | 只看该作者
    设置一下 uploadface 不能执行程序就好了
    edge005 该用户已被删除
    4
    发表于 2004-5-25 12:07:00 | 只看该作者
    晕,这样都行,煎饼遇到难题了呵
    天外流星 该用户已被删除
    3
     楼主| 发表于 2004-5-25 11:40:00 | 只看该作者
    上传文件之后把首尾的代码去掉不就这样了吗,呵呵,晕 {仅仅是引起注意而已}! @/ _0 q. B# F

    4 L$ Q1 ]4 x+ U5 ~, h问题是, 这个 ASP 文件怎么上传进来的,而且被错误的执行为 gif 文件,如果这个asp带有病毒的话,就会有很多电脑受害。; F- y* J. a" K* {$ R

    ! \; \) z. }; X; K我也不知道怎么解决,联系我也没用,反正这是动网论坛上传文件的漏洞,你编程水平很高的话自己修改原代码吧,或者等待动网论坛的官方补丁,相信很快就出来了1 I& R* S: g& ^: ^* U/ f' l
    : L: }7 a- j9 s- @' T! K: M

    2 e$ H9 C; Y6 h' K
  • TA的每日心情
    奋斗
    昨天 10:07
  • 签到天数: 2385 天

    [LV.Master]伴坛终老

    2
    发表于 2004-5-24 22:15:00 | 只看该作者
    谢谢你,请和我联系一下
    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表