下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 2870|回复: 14
打印 上一主题 下一主题

论坛管理员来看看吧

[复制链接]
天外流星 该用户已被删除
跳转到指定楼层
1
发表于 2004-5-24 22:09:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
打开下面这个连接
+ F/ z3 V" |  dhttp://bbs.echot.net/UploadFace/20045242285039363.gif
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 顶 踩
  • TA的每日心情
    奋斗
    昨天 10:07
  • 签到天数: 2385 天

    [LV.Master]伴坛终老

    2
    发表于 2004-5-24 22:15:00 | 只看该作者
    谢谢你,请和我联系一下
    天外流星 该用户已被删除
    3
     楼主| 发表于 2004-5-25 11:40:00 | 只看该作者
    上传文件之后把首尾的代码去掉不就这样了吗,呵呵,晕 {仅仅是引起注意而已}
    2 I, r% }/ z& j6 _1 C: d7 J. j. P( B" |  Q; W
    问题是, 这个 ASP 文件怎么上传进来的,而且被错误的执行为 gif 文件,如果这个asp带有病毒的话,就会有很多电脑受害。
    & o% q+ R* s5 @$ B% J( [' ]
    # {& ?9 d$ T; e* ^' H9 b  ^3 k我也不知道怎么解决,联系我也没用,反正这是动网论坛上传文件的漏洞,你编程水平很高的话自己修改原代码吧,或者等待动网论坛的官方补丁,相信很快就出来了; Q2 N4 F' M. o+ {* t/ c
    1 A7 D0 i  U* u8 e) w

    5 {. P/ |* Y9 K: ~' O- W
    edge005 该用户已被删除
    4
    发表于 2004-5-25 12:07:00 | 只看该作者
    晕,这样都行,煎饼遇到难题了呵
  • TA的每日心情
    慵懒
    2014-10-21 10:00
  • 签到天数: 2 天

    [LV.1]初来乍到

    5
    发表于 2004-5-25 12:21:00 | 只看该作者
    设置一下 uploadface 不能执行程序就好了

    该用户从未签到

    6
    发表于 2004-5-26 05:55:00 | 只看该作者
    没那么简单!直接把这个uploadface 删除了
  • TA的每日心情
    慵懒
    2014-10-21 10:00
  • 签到天数: 2 天

    [LV.1]初来乍到

    7
    发表于 2004-5-26 12:02:00 | 只看该作者
    设置过权限之后就不能执行程序了,html没有什么用

    该用户从未签到

    8
    发表于 2004-5-27 13:51:00 | 只看该作者
    好象在哪本书上介绍过!
    . N. M# j8 ]0 K/ ^5 M# I& T& Z动网6.0 6.1 都有这个漏洞!: a" V4 ^) g/ s! z/ C. P
    如果构造下 javascript代码还可能会得到会员和管理员的cookie,这个听起来很可怕啊!
    ( s2 t7 v) k' g+ ]; L( w$ R

    该用户从未签到

    9
    发表于 2004-5-27 15:46:00 | 只看该作者
    这个是动网论坛的上传文件漏洞* B5 U3 r+ `3 _9 D) Z5 }
    主要问题出在asp无组件上传的代码中,以下这一句上
    . X( K- O! A0 B7 S2 o4 v8 ffilename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt' V6 }5 p- G0 \% D0 C8 _
    这句话将一段字符串合并起来,生成保存的文件名filename,formPath是表单提交的变量。( t5 Z: F. z, y3 s5 @
    如果设法构造formPath:在计算机中检测字符串的关键就是看是否碰到'\0'字符,如果是,则认为字符串结束了.也就是说我们在构造上传文件保存路径时,只要欺骗计算机,让他认为类似"uploadface\zwell.asp"这样的路径参数已经结束了,这样,后面一连串的时间字符我们都可以不要,从而达到直接将文件保存为我们定义的文件名的目的。
    - G; ^5 {' l2 d9 p+ y! m7 o因此,在构造的POST数据包中,将表单中的filepath改成类似uploadface\zwell.asp'\0'的字符串然后发送出去就行了。
    4 c- e) |0 t/ e也就是说,恶意提交的formPath中只要包含'\0',filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt语句得到的+ P% v: X2 ?% b( ~6 m4 q
    filename就只有formPath了,后面的&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt部分都给丢弃乐,因此可以随意生成.asp等文件了。
    . m1 F. `- j* l0 r8 i2 `: W解决方法,我想在filename=之前,先对formPath的内容进行过滤,把'\0'改成空格什么的,就可以防止这个漏洞了。asp我不熟悉,不知对'\0'检测用什么语句可以
    9 e0 j- k, |( `& ^关于这个漏洞的详细说明,见http://www.xfocus.net/articles/200405/700.html
    - M$ {- E2 P, Z( `, P+ @; Q
    雨中蝎子 该用户已被删除
    10
    发表于 2004-5-28 10:25:00 | 只看该作者
    偶八是斑竹,先闪过。。。。
  • TA的每日心情
    奋斗
    2015-9-17 00:58
  • 签到天数: 1 天

    [LV.1]初来乍到

    11
    发表于 2004-5-28 17:55:00 | 只看该作者
    呵呵,一个不大不小的漏洞,不过这个也不是用javascript可以利用的,要写socket程序才可以利用。

    该用户从未签到

    12
    发表于 2004-5-28 19:26:00 | 只看该作者
    呵呵~!
    0 i# z* [8 T, B( m- q! Y
    , u+ s* g$ D: i& O这个问题应该说比较严重!( D) \2 E5 \3 X- Q  C0 w

    " `) A, N) C$ G: N稍不注意就会泄露cookie,被人利用!+ u7 p# A2 g$ @/ O4 X+ K% W4 A. V' @. B
    3 o; t2 ^- w6 }5 D

    # A& q8 {8 `1 }1 s* G
    [此贴子已经被作者于2004-5-28 19:30:37编辑过]

    $ [( j/ f" }+ X. d1 S/ O

    该用户从未签到

    13
    发表于 2004-5-28 22:03:00 | 只看该作者
    以下是引用yzhlinux在2004-5-28 17:55:55的发言:8 i1 N: h& k" t1 s. ? 呵呵,一个不大不小的漏洞,不过这个也不是用javascript可以利用的,要写socket程序才可以利用。
    , u3 ^: ]2 o! M* z" k5 H 如果先用sniff软件抓出正常POST数据,稍作修改,保存为aa.txt/ A2 L; Y! T0 _% f! ~ 然后telnet IP 80 8 f7 h. @% R% o就可以利用这个漏洞上传文件了 ,不用编写程序 ^^) 6 O7 E2 B+ _5 i# }5 G 0 R& R+ m- n# E l# T
  • TA的每日心情
    慵懒
    2014-10-21 10:00
  • 签到天数: 2 天

    [LV.1]初来乍到

    14
    发表于 2004-5-30 16:55:00 | 只看该作者
    找到 post_upfile.asp、upfile.asp、z_visual_upfile.asp、NF_visual_upfile.asp、saveannouce_upfile.asp等上传文件(包括所有插件中的上传文件) / O; n5 M6 p2 ^# Y; i0 s % a9 }$ Y0 ^$ t" k0 k查找文件中的代码:" c" N) C' S3 {! x. P6 g FileExt=Lcase(File.FileExt) ( i6 P7 P+ x* f! G) N8 b '判断文件类型4 X- S0 T# c. E P/ O If CheckFileExt(FileExt)=false then , r$ e t* J+ y' |. {3 l+ ~ Response.write "文件格式不正确,或不能为空 [ 重新上传 ]" ! F6 ~' W# |" t! |! ?8 m EXIT SUB/ b" c z* L, o8 \3 _7 ^# ^ End If $ _1 E, \& J# I: N- X # q- N2 q6 _/ `( E' g将其中的 , [5 e. X$ c( w2 I% d# Q' dFileExt=Lcase(File.FileExt)9 t7 r* R) ]9 Q: r/ m! m) J + y3 ^/ Y3 w9 t* P" m( N, x9 F替换为下面代码: H4 {5 x* w" ?: X6 e/ D # c9 d2 J! w7 J- p$ s* ~) i& e9 ]! h0 gFileExt=FixName(File.FileExt) ) v/ j9 F i# X/ e* l' j ! X3 n8 x0 x- B( y0 q+ e; g; SformPath= Replace(Replace(formPath,Chr(0),""),".","")* }, Q2 }7 R G1 f 6 p8 K, v- ^/ m% ?- P, G下面的代码放在asp文件的最后 "%>"前2 E$ }6 R7 X' z% a: d, ~! [ Function FixName(UpFileExt), B& } J* y2 D, }9 l' V; P8 X If IsEmpty(UpFileExt) Then Exit Function- M: {, D& R+ }: f FixName = Lcase(UpFileExt) 9 l+ n( h+ ^8 n: g+ ^# P; |. _FixName = Replace(FixName,Chr(0),"") 4 }* N. }; M0 k6 _FixName = Replace(FixName,".","") ?2 P7 Q( ~$ e% f p FixName = Replace(FixName,"asp","")8 i# _& o6 j" g7 \ FixName = Replace(FixName,"asa","") V% |* X) @) u: n% EFixName = Replace(FixName,"aspx","") / e& T+ q; G- s# E" QFixName = Replace(FixName,"cer","") . o7 z* X2 s+ X8 @$ e+ |9 U+ {! MFixName = Replace(FixName,"cdx","")6 o, K9 P5 r. z: D ?' B9 e( f FixName = Replace(FixName,"htr","") ) B. X4 Z) b7 k5 w* Z FixName = Replace(FixName,"php","") / E+ i \: T$ E. m- b( SEnd Function) T8 O; y. x9 R+ j ' f" {# ~' e; J$ |0 }' G" I; Q8 ~' {- _/ Z. j

    该用户从未签到

    15
    发表于 2004-5-30 17:32:00 | 只看该作者
    我认为主要应该对提交的文件全路径filepath进行过滤
    8 _1 T, s! |6 y7 H例如提交一个uploadface\aaa.asp+'\0'+.jpg 文件,从文件的扩展名File.FileExt得到的是合法的.jpg文件类型,但是利用漏洞上传后,产生为aaa.asp 非法文件,则才是这个漏洞的关键。8 {, {) D5 y2 P3 @  g! H0 w# h6 }
    $ c" t, a( A( s
    ‘我累了‘前面提到的禁止uploadface目录的执行和脚本权限也许可防范。
    9 H4 ^- M( h- D5 H3 x" y8 u6 K$ l4 x: j; p
    不过不知道Dvbbs 是否对上传的路径进行了限定,否则把filepath改成"c:/winnt/aa.exe+'\0'+.jpg 或者../../../aa.exe+'\0'+.jpg 什么的,这洞就有点大了) O1 V7 q+ x8 e9 y8 ^% f6 L7 H
    2 R  a( J# k) {3 X( K  A
    [此贴子已经被作者于2004-5-30 17:43:02编辑过]
    8 E( G  u% f$ i: C0 M( P0 m! C

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表