论坛管理员来看看吧

打开下面这个连接
' s$ R% T% c! E* r. d" ]http://bbs.echot.net/UploadFace/20045242285039363.gif

煎饼

谢谢你，请和我联系一下

上传文件之后把首尾的代码去掉不就这样了吗，呵呵，晕 {仅仅是引起注意而已}

% _2 R$ U% J) {) `  r- v+ r问题是， 这个 ASP 文件怎么上传进来的，而且被错误的执行为 gif 文件,如果这个asp带有病毒的话，就会有很多电脑受害。
0 O6 u- `0 a) m& C
我也不知道怎么解决，联系我也没用，反正这是动网论坛上传文件的漏洞，你编程水平很高的话自己修改原代码吧，或者等待动网论坛的官方补丁，相信很快就出来了
- a+ `; s6 N7 z8 x* x( N' w4 @% G
/ p; t# `& [( m/ D$ Z$ @* F) M

晕，这样都行，煎饼遇到难题了呵

我累了

设置一下 uploadface 不能执行程序就好了

超帅

没那么简单!直接把这个uploadface 删除了

我累了

设置过权限之后就不能执行程序了，html没有什么用

gun

好象在哪本书上介绍过！
动网6.0 6.1 都有这个漏洞！
如果构造下 javascript代码还可能会得到会员和管理员的cookie，这个听起来很可怕啊！

hzzh

这个是动网论坛的上传文件漏洞
主要问题出在asp无组件上传的代码中，以下这一句上
filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt
这句话将一段字符串合并起来，生成保存的文件名filename，formPath是表单提交的变量。
+ v  {& `+ l' d9 k* ~0 I: l6 d6 C4 A如果设法构造formPath：在计算机中检测字符串的关键就是看是否碰到'\0'字符,如果是,则认为字符串结束了.也就是说我们在构造上传文件保存路径时,只要欺骗计算机,让他认为类似"uploadface\zwell.asp"这样的路径参数已经结束了,这样,后面一连串的时间字符我们都可以不要,从而达到直接将文件保存为我们定义的文件名的目的。
因此,在构造的POST数据包中,将表单中的filepath改成类似uploadface\zwell.asp'\0'的字符串然后发送出去就行了。
也就是说，恶意提交的formPath中只要包含'\0'，filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt语句得到的
% C3 u4 R* N6 [; Nfilename就只有formPath了，后面的&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt部分都给丢弃乐，因此可以随意生成.asp等文件了。
解决方法，我想在filename=之前，先对formPath的内容进行过滤，把'\0'改成空格什么的，就可以防止这个漏洞了。asp我不熟悉，不知对'\0'检测用什么语句可以
8 N) [$ M. b( D! U1 b; F6 Q; r关于这个漏洞的详细说明，见http://www.xfocus.net/articles/200405/700.html
2 \# b2 R; p* F" ~/ L2 b

偶八是斑竹，先闪过。。。。

yzhlinux

呵呵，一个不大不小的漏洞，不过这个也不是用javascript可以利用的，要写socket程序才可以利用。

gun

呵呵~！
) h9 A0 X. z9 ~$ Q3 e" e4 g) Q
, `3 c% E. g" ~) j4 B8 M这个问题应该说比较严重！

* k0 Y# G8 w* O1 r稍不注意就会泄露cookie,被人利用！

% b; v. U" Q  x; L

[此贴子已经被作者于2004-5-28 19:30:37编辑过]

hzzh

以下是引用yzhlinux在2004-5-28 17:55:55的发言： 呵呵，一个不大不小的漏洞，不过这个也不是用javascript可以利用的，要写socket程序才可以利用。

如果先用sniff软件抓出正常POST数据，稍作修改，保存为aa.txt 然后telnet IP 80 1 I; P" L- Y- o7 @8 c% q就可以利用这个漏洞上传文件了 ,不用编写程序 ^^) ! p# e; u, g8 P- e/ @# k

我累了

找到 post_upfile.asp、upfile.asp、z_visual_upfile.asp、NF_visual_upfile.asp、saveannouce_upfile.asp等上传文件(包括所有插件中的上传文件) 6 Y+ D% \- S9 j: n9 f& d/ G, S 查找文件中的代码： FileExt=Lcase(File.FileExt) : I, ^7 l( {. N7 G4 x9 d, [# m '判断文件类型 7 g2 i# g2 N" e! c4 v8 c If CheckFileExt(FileExt)=false then Response.write "文件格式不正确,或不能为空　[ 重新上传 ]" 1 h* J2 R. P: v: l0 A EXIT SUB End If 将其中的 7 l1 k* c0 x) {: E2 ]" m9 M6 P9 ]FileExt=Lcase(File.FileExt) : y" L$ G0 W0 o/ y, S; ~) s; X 9 t0 Y' _/ D/ {) J9 c3 X替换为下面代码： 8 X1 ~ I1 n z2 e* h4 a ~ 9 [% {& o/ n- g' }5 DFileExt=FixName(File.FileExt) $ i- N2 ~& D& EformPath= Replace(Replace(formPath,Chr(0),""),".","") & c5 v7 q- ^9 p8 h; F2 ], t 8 s' h4 \& u! ~- `下面的代码放在asp文件的最后 "%>"前 Function FixName(UpFileExt) * W& u, V/ _- y) \8 w7 yIf IsEmpty(UpFileExt) Then Exit Function # w5 c8 ?" |4 Y1 LFixName = Lcase(UpFileExt) . u) t1 m0 Y- B' |( }FixName = Replace(FixName,Chr(0),"") FixName = Replace(FixName,".","") FixName = Replace(FixName,"asp","") $ `; m, U; P4 [- y* x: cFixName = Replace(FixName,"asa","") # W6 w$ x( u2 r" e& ?FixName = Replace(FixName,"aspx","") $ k- B3 L8 q0 v- OFixName = Replace(FixName,"cer","") FixName = Replace(FixName,"cdx","") FixName = Replace(FixName,"htr","") FixName = Replace(FixName,"php","") End Function ( x$ S3 b- g7 K9 B. Z 5 T( Y+ w1 g& j. C

hzzh

我认为主要应该对提交的文件全路径filepath进行过滤
$ o  K1 Q/ _) D, ]- I例如提交一个uploadface\aaa.asp+'\0'+.jpg 文件，从文件的扩展名File.FileExt得到的是合法的.jpg文件类型，但是利用漏洞上传后，产生为aaa.asp 非法文件，则才是这个漏洞的关键。

‘我累了‘前面提到的禁止uploadface目录的执行和脚本权限也许可防范。

不过不知道Dvbbs 是否对上传的路径进行了限定，否则把filepath改成"c:/winnt/aa.exe+'\0'+.jpg 或者../../../aa.exe+'\0'+.jpg 什么的，这洞就有点大了
) d9 z3 k# ?% h! q* Z
# Y. x1 r& R8 Q

[此贴子已经被作者于2004-5-30 17:43:02编辑过]

7 X0 {) Q3 D$ C: n