下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 2871|回复: 14
打印 上一主题 下一主题

论坛管理员来看看吧

[复制链接]
天外流星 该用户已被删除
跳转到指定楼层
1
发表于 2004-5-24 22:09:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
打开下面这个连接
* R/ g& j: x& H7 r3 hhttp://bbs.echot.net/UploadFace/20045242285039363.gif
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 顶 踩
  • TA的每日心情
    奋斗
    昨天 10:07
  • 签到天数: 2385 天

    [LV.Master]伴坛终老

    2
    发表于 2004-5-24 22:15:00 | 只看该作者
    谢谢你,请和我联系一下
    天外流星 该用户已被删除
    3
     楼主| 发表于 2004-5-25 11:40:00 | 只看该作者
    上传文件之后把首尾的代码去掉不就这样了吗,呵呵,晕 {仅仅是引起注意而已}
    1 |& A; \+ O2 V) }/ O" W1 G  @& y" `- D8 L  }
    问题是, 这个 ASP 文件怎么上传进来的,而且被错误的执行为 gif 文件,如果这个asp带有病毒的话,就会有很多电脑受害。
    3 X! T/ s* R1 i$ Q' H
    # \1 c/ a" J" A: L( p我也不知道怎么解决,联系我也没用,反正这是动网论坛上传文件的漏洞,你编程水平很高的话自己修改原代码吧,或者等待动网论坛的官方补丁,相信很快就出来了
    . v. R4 l& g' h% x, Q; M9 C2 e1 e1 [* Y4 m2 b) m/ e  e3 h- s  c
    , l+ k+ N  D' d6 q1 H
    edge005 该用户已被删除
    4
    发表于 2004-5-25 12:07:00 | 只看该作者
    晕,这样都行,煎饼遇到难题了呵
  • TA的每日心情
    慵懒
    2014-10-21 10:00
  • 签到天数: 2 天

    [LV.1]初来乍到

    5
    发表于 2004-5-25 12:21:00 | 只看该作者
    设置一下 uploadface 不能执行程序就好了

    该用户从未签到

    6
    发表于 2004-5-26 05:55:00 | 只看该作者
    没那么简单!直接把这个uploadface 删除了
  • TA的每日心情
    慵懒
    2014-10-21 10:00
  • 签到天数: 2 天

    [LV.1]初来乍到

    7
    发表于 2004-5-26 12:02:00 | 只看该作者
    设置过权限之后就不能执行程序了,html没有什么用

    该用户从未签到

    8
    发表于 2004-5-27 13:51:00 | 只看该作者
    好象在哪本书上介绍过!7 s0 R3 {. S% N
    动网6.0 6.1 都有这个漏洞!
    ( P- r5 h" `8 c7 w: |+ M- _如果构造下 javascript代码还可能会得到会员和管理员的cookie,这个听起来很可怕啊!! Z- z/ y% e. W  C5 e/ v

    该用户从未签到

    9
    发表于 2004-5-27 15:46:00 | 只看该作者
    这个是动网论坛的上传文件漏洞
      b( u9 R" N" N5 U6 F主要问题出在asp无组件上传的代码中,以下这一句上2 M8 c3 o% S, W! N0 a2 Z- ?
    filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt
    . X3 B- V& U$ a0 m9 q. G/ h1 j; ?这句话将一段字符串合并起来,生成保存的文件名filename,formPath是表单提交的变量。2 O+ {- H4 Z) M/ o: t( I
    如果设法构造formPath:在计算机中检测字符串的关键就是看是否碰到'\0'字符,如果是,则认为字符串结束了.也就是说我们在构造上传文件保存路径时,只要欺骗计算机,让他认为类似"uploadface\zwell.asp"这样的路径参数已经结束了,这样,后面一连串的时间字符我们都可以不要,从而达到直接将文件保存为我们定义的文件名的目的。) K: D: \. ]/ q. {- S
    因此,在构造的POST数据包中,将表单中的filepath改成类似uploadface\zwell.asp'\0'的字符串然后发送出去就行了。# d& H0 s) x" W
    也就是说,恶意提交的formPath中只要包含'\0',filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt语句得到的
    2 e6 `! S: i8 M# |filename就只有formPath了,后面的&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt部分都给丢弃乐,因此可以随意生成.asp等文件了。& A( Y  X) ^* I- ^
    解决方法,我想在filename=之前,先对formPath的内容进行过滤,把'\0'改成空格什么的,就可以防止这个漏洞了。asp我不熟悉,不知对'\0'检测用什么语句可以: \( r' }4 l. K
    关于这个漏洞的详细说明,见http://www.xfocus.net/articles/200405/700.html- ?2 S' s1 j0 V1 T( x
    雨中蝎子 该用户已被删除
    10
    发表于 2004-5-28 10:25:00 | 只看该作者
    偶八是斑竹,先闪过。。。。
  • TA的每日心情
    奋斗
    2015-9-17 00:58
  • 签到天数: 1 天

    [LV.1]初来乍到

    11
    发表于 2004-5-28 17:55:00 | 只看该作者
    呵呵,一个不大不小的漏洞,不过这个也不是用javascript可以利用的,要写socket程序才可以利用。

    该用户从未签到

    12
    发表于 2004-5-28 19:26:00 | 只看该作者
    呵呵~!
    3 L" {) U( m/ A* M. U; D. @- D' d9 c& w' l% _( U
    这个问题应该说比较严重!
    , N2 D. r! x. `( Y2 P$ F
    ( a5 C1 {8 ^3 T0 d稍不注意就会泄露cookie,被人利用!, ]# F. o' H- F
    ; B7 ?' Z! x% {1 C6 `
    - S6 \- H5 K- R3 d5 e
    [此贴子已经被作者于2004-5-28 19:30:37编辑过]
    7 P  R4 ^: i! j6 L4 i, g; v

    该用户从未签到

    13
    发表于 2004-5-28 22:03:00 | 只看该作者
    以下是引用yzhlinux在2004-5-28 17:55:55的发言:9 w X# _0 q' Y 呵呵,一个不大不小的漏洞,不过这个也不是用javascript可以利用的,要写socket程序才可以利用。
    7 {* n+ v. Z/ A- { 如果先用sniff软件抓出正常POST数据,稍作修改,保存为aa.txt ! O- h, O! K% y然后telnet IP 80 1 C$ r$ y: Y% R( I, a. E 就可以利用这个漏洞上传文件了 ,不用编写程序 ^^)" X0 `) X; P5 o' G2 r. n . i; C# o* A- C8 D# _$ w+ q1 j
  • TA的每日心情
    慵懒
    2014-10-21 10:00
  • 签到天数: 2 天

    [LV.1]初来乍到

    14
    发表于 2004-5-30 16:55:00 | 只看该作者
    找到 post_upfile.asp、upfile.asp、z_visual_upfile.asp、NF_visual_upfile.asp、saveannouce_upfile.asp等上传文件(包括所有插件中的上传文件) 2 s7 t& H- B4 Z1 s+ A( f/ ]/ S+ p* N8 U3 i' M% T& c 查找文件中的代码: Y1 {- F7 X u/ F4 m" a! _ FileExt=Lcase(File.FileExt) $ M) h4 u% h. b' h, U '判断文件类型 , `( I2 m4 H# B8 c: k9 x If CheckFileExt(FileExt)=false then. |2 @0 R! T$ O( b' o Response.write "文件格式不正确,或不能为空 [ 重新上传 ]"* r5 d& S: |8 k# F EXIT SUB9 J- m: `( k4 P7 S End If' Q# \1 D5 \3 M7 g' B1 B 0 M" }* Z9 T' F& L R% _将其中的 ! L) w, e6 u" `; M: LFileExt=Lcase(File.FileExt)7 S7 O% o z$ o' M / z% i# Q0 l' z" P. D- s( p: r) Z% V替换为下面代码: 9 i! F8 f& |6 ]7 I6 Y$ a* A0 C+ A, e0 V5 b2 } FileExt=FixName(File.FileExt) 2 o& k* |: n6 \; K 0 w3 O' q3 Q! q3 R9 qformPath= Replace(Replace(formPath,Chr(0),""),".","")- B: @6 S! ^; {( u * f6 h( l( n. ~6 s下面的代码放在asp文件的最后 "%>"前1 T( {" p8 W8 v Function FixName(UpFileExt): _$ {8 Q- j; h If IsEmpty(UpFileExt) Then Exit Function$ X% Z6 c+ \1 Q# [) ? FixName = Lcase(UpFileExt) ) r% T* \( d' FFixName = Replace(FixName,Chr(0),"") ; ]% {1 I' n: K' {0 u: z6 T9 fFixName = Replace(FixName,".","")( J5 [0 V, w- t+ j FixName = Replace(FixName,"asp","")* e) z" q5 j* x FixName = Replace(FixName,"asa","") 3 L5 Z) i- K! g4 c' `; uFixName = Replace(FixName,"aspx","")( {" l" Q2 F2 c1 z/ d1 L3 ~ FixName = Replace(FixName,"cer","") * a& p: i7 @4 g4 P3 ?- HFixName = Replace(FixName,"cdx","")5 W M- e" D, m, |; O) {' ]( e5 l FixName = Replace(FixName,"htr","")1 c2 a" ]' O8 p+ [ FixName = Replace(FixName,"php","")) B& X. i: r' A* n1 y& v End Function % C% R: M& L5 u/ w: T) q* Z% _/ ]* W5 h $ ?6 Y' d- Z; X/ t1 {3 |+ c' p

    该用户从未签到

    15
    发表于 2004-5-30 17:32:00 | 只看该作者
    我认为主要应该对提交的文件全路径filepath进行过滤
    4 U/ t& ~) _* ^例如提交一个uploadface\aaa.asp+'\0'+.jpg 文件,从文件的扩展名File.FileExt得到的是合法的.jpg文件类型,但是利用漏洞上传后,产生为aaa.asp 非法文件,则才是这个漏洞的关键。7 y: R1 ?. o4 I1 M+ |" `
    3 _1 v3 q* c/ i; J" r6 w9 u
    ‘我累了‘前面提到的禁止uploadface目录的执行和脚本权限也许可防范。
    7 y- s: F/ r/ G; T& {  n) ]! x. v
    $ P/ }0 A" S2 Y% Y不过不知道Dvbbs 是否对上传的路径进行了限定,否则把filepath改成"c:/winnt/aa.exe+'\0'+.jpg 或者../../../aa.exe+'\0'+.jpg 什么的,这洞就有点大了$ _+ G) ^, B  p5 _2 G8 C. i
    9 U' F) I9 e1 X9 r3 b, ]
    [此贴子已经被作者于2004-5-30 17:43:02编辑过]
    ; `, s0 J4 R0 E, O7 M

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表