论坛管理员来看看吧

打开下面这个连接
http://bbs.echot.net/UploadFace/20045242285039363.gif

煎饼

谢谢你，请和我联系一下

上传文件之后把首尾的代码去掉不就这样了吗，呵呵，晕 {仅仅是引起注意而已}
+ _% V0 L8 n& ^/ b/ ]
5 |9 \6 [) a+ F' V4 M6 G+ l7 `问题是， 这个 ASP 文件怎么上传进来的，而且被错误的执行为 gif 文件,如果这个asp带有病毒的话，就会有很多电脑受害。
. s" n* X3 X8 K
我也不知道怎么解决，联系我也没用，反正这是动网论坛上传文件的漏洞，你编程水平很高的话自己修改原代码吧，或者等待动网论坛的官方补丁，相信很快就出来了
: K0 Z' N& n- U& N3 c+ ?8 e; o

' |8 \# R) P% g6 |2 I" a7 D0 r

晕，这样都行，煎饼遇到难题了呵

我累了

设置一下 uploadface 不能执行程序就好了

超帅

没那么简单!直接把这个uploadface 删除了

我累了

设置过权限之后就不能执行程序了，html没有什么用

gun

好象在哪本书上介绍过！
/ D) z3 h& z! @4 [5 N* y! G动网6.0 6.1 都有这个漏洞！
如果构造下 javascript代码还可能会得到会员和管理员的cookie，这个听起来很可怕啊！

hzzh

这个是动网论坛的上传文件漏洞
主要问题出在asp无组件上传的代码中，以下这一句上
* v' l2 u& ?" Jfilename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt
7 m$ V! P% ?. U, ~这句话将一段字符串合并起来，生成保存的文件名filename，formPath是表单提交的变量。
如果设法构造formPath：在计算机中检测字符串的关键就是看是否碰到'\0'字符,如果是,则认为字符串结束了.也就是说我们在构造上传文件保存路径时,只要欺骗计算机,让他认为类似"uploadface\zwell.asp"这样的路径参数已经结束了,这样,后面一连串的时间字符我们都可以不要,从而达到直接将文件保存为我们定义的文件名的目的。
因此,在构造的POST数据包中,将表单中的filepath改成类似uploadface\zwell.asp'\0'的字符串然后发送出去就行了。
也就是说，恶意提交的formPath中只要包含'\0'，filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt语句得到的
3 q. s. ?" b6 `8 e* b6 a, jfilename就只有formPath了，后面的&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt部分都给丢弃乐，因此可以随意生成.asp等文件了。
. `/ u6 _4 A+ z! V解决方法，我想在filename=之前，先对formPath的内容进行过滤，把'\0'改成空格什么的，就可以防止这个漏洞了。asp我不熟悉，不知对'\0'检测用什么语句可以
% S; e) X( U( t; j# S4 j; h关于这个漏洞的详细说明，见http://www.xfocus.net/articles/200405/700.html
8 w' z$ V& h  B1 \/ W8 z$ r+ X

偶八是斑竹，先闪过。。。。

yzhlinux

呵呵，一个不大不小的漏洞，不过这个也不是用javascript可以利用的，要写socket程序才可以利用。

gun

呵呵~！

这个问题应该说比较严重！
+ g- l5 U9 O% B
1 S2 Y# ?& N# ?! U# x3 T+ P稍不注意就会泄露cookie,被人利用！
4 Z; }) u; B3 ?4 d$ \
! H9 F5 o9 P/ |) p7 P
, u* r/ Q* F  r

[此贴子已经被作者于2004-5-28 19:30:37编辑过]

$ G7 ~1 |; _/ p4 f  Z! `

hzzh

以下是引用yzhlinux在2004-5-28 17:55:55的发言： % P+ Y" ?. G! |$ h$ H呵呵，一个不大不小的漏洞，不过这个也不是用javascript可以利用的，要写socket程序才可以利用。

如果先用sniff软件抓出正常POST数据，稍作修改，保存为aa.txt 然后telnet IP 80

我累了

找到 post_upfile.asp、upfile.asp、z_visual_upfile.asp、NF_visual_upfile.asp、saveannouce_upfile.asp等上传文件(包括所有插件中的上传文件) : q: M' I" O2 o1 ]: R 查找文件中的代码： : F' @5 m. z ^1 _$ Z- p, J( t FileExt=Lcase(File.FileExt) * J* j8 G* H2 ?5 @! v '判断文件类型 ( i: v% S8 p# L If CheckFileExt(FileExt)=false then Response.write "文件格式不正确,或不能为空　[ 重新上传 ]" * R% G/ n o: W, R+ t8 _! s EXIT SUB % R% y$ v3 p* D; c0 g" D* q0 f End If : A* D. n, V0 k' R+ g. z 将其中的 FileExt=Lcase(File.FileExt) * z& P+ A) s" y2 r# O& ]替换为下面代码： # S) @6 u; K* |6 a: A% H8 b FileExt=FixName(File.FileExt) formPath= Replace(Replace(formPath,Chr(0),""),".","") # U" ]" ?' q" P, h3 ` 5 s: x8 @3 d! F7 Y/ P- A下面的代码放在asp文件的最后 "%>"前 : w, c% C, h- M; i8 uFunction FixName(UpFileExt) If IsEmpty(UpFileExt) Then Exit Function FixName = Lcase(UpFileExt) * V5 J0 v S# e) Q. g, f% bFixName = Replace(FixName,Chr(0),"") 3 r# b0 _/ R I/ cFixName = Replace(FixName,".","") 2 |8 X1 t% z" W+ ?# x+ G- ZFixName = Replace(FixName,"asp","") 5 r. X2 }! @6 |0 F( mFixName = Replace(FixName,"asa","") ; \3 E6 U) @$ T: ^5 ~9 a( E0 d, ]FixName = Replace(FixName,"aspx","") 2 @ u L+ }# @! fFixName = Replace(FixName,"cer","") 1 A( i1 R% Q ~: ^0 C; ?FixName = Replace(FixName,"cdx","") FixName = Replace(FixName,"htr","") FixName = Replace(FixName,"php","") End Function

hzzh

我认为主要应该对提交的文件全路径filepath进行过滤
6 b0 [' P% g. \- [! \3 Y& L- k' {例如提交一个uploadface\aaa.asp+'\0'+.jpg 文件，从文件的扩展名File.FileExt得到的是合法的.jpg文件类型，但是利用漏洞上传后，产生为aaa.asp 非法文件，则才是这个漏洞的关键。
: U) l. `  \5 K' D- h5 b8 S- c& Z
‘我累了‘前面提到的禁止uploadface目录的执行和脚本权限也许可防范。

不过不知道Dvbbs 是否对上传的路径进行了限定，否则把filepath改成"c:/winnt/aa.exe+'\0'+.jpg 或者../../../aa.exe+'\0'+.jpg 什么的，这洞就有点大了
" ^) f+ j- \2 Y3 N$ G4 I- f
3 t( ^7 u$ P3 c5 G7 E4 q6 r

[此贴子已经被作者于2004-5-30 17:43:02编辑过]