下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 2903|回复: 14
打印 上一主题 下一主题

论坛管理员来看看吧

[复制链接]
天外流星 该用户已被删除
跳转到指定楼层
1
发表于 2004-5-24 22:09:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
打开下面这个连接
' s$ R% T% c! E* r. d" ]http://bbs.echot.net/UploadFace/20045242285039363.gif
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 顶 踩
  • TA的每日心情
    擦汗
    6 天前
  • 签到天数: 2402 天

    [LV.Master]伴坛终老

    2
    发表于 2004-5-24 22:15:00 | 只看该作者
    谢谢你,请和我联系一下
    天外流星 该用户已被删除
    3
     楼主| 发表于 2004-5-25 11:40:00 | 只看该作者
    上传文件之后把首尾的代码去掉不就这样了吗,呵呵,晕 {仅仅是引起注意而已}8 M- y1 {* H6 h1 P4 S  g- w. H

    % _2 R$ U% J) {) `  r- v+ r问题是, 这个 ASP 文件怎么上传进来的,而且被错误的执行为 gif 文件,如果这个asp带有病毒的话,就会有很多电脑受害。
    0 O6 u- `0 a) m& C6 r# L! y; X+ |. Q: b
    我也不知道怎么解决,联系我也没用,反正这是动网论坛上传文件的漏洞,你编程水平很高的话自己修改原代码吧,或者等待动网论坛的官方补丁,相信很快就出来了
    - a+ `; s6 N7 z8 x* x( N' w4 @% G
    / p; t# `& [( m/ D$ Z$ @* F) M' {+ f5 c; y) F7 X/ y
    edge005 该用户已被删除
    4
    发表于 2004-5-25 12:07:00 | 只看该作者
    晕,这样都行,煎饼遇到难题了呵
  • TA的每日心情
    慵懒
    2014-10-21 10:00
  • 签到天数: 2 天

    [LV.1]初来乍到

    5
    发表于 2004-5-25 12:21:00 | 只看该作者
    设置一下 uploadface 不能执行程序就好了

    该用户从未签到

    6
    发表于 2004-5-26 05:55:00 | 只看该作者
    没那么简单!直接把这个uploadface 删除了
  • TA的每日心情
    慵懒
    2014-10-21 10:00
  • 签到天数: 2 天

    [LV.1]初来乍到

    7
    发表于 2004-5-26 12:02:00 | 只看该作者
    设置过权限之后就不能执行程序了,html没有什么用

    该用户从未签到

    8
    发表于 2004-5-27 13:51:00 | 只看该作者
    好象在哪本书上介绍过!! [7 J: X4 D7 D* n6 p0 v( T
    动网6.0 6.1 都有这个漏洞!( U$ F, o. j7 u  F+ O
    如果构造下 javascript代码还可能会得到会员和管理员的cookie,这个听起来很可怕啊!' U% w  [, r5 ^. `2 Q4 v) @

    该用户从未签到

    9
    发表于 2004-5-27 15:46:00 | 只看该作者
    这个是动网论坛的上传文件漏洞/ S5 i  o, w1 E+ R3 R
    主要问题出在asp无组件上传的代码中,以下这一句上: f% [" q/ z; m0 P
    filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt4 c! {! R3 W$ J) V
    这句话将一段字符串合并起来,生成保存的文件名filename,formPath是表单提交的变量。
    + v  {& `+ l' d9 k* ~0 I: l6 d6 C4 A如果设法构造formPath:在计算机中检测字符串的关键就是看是否碰到'\0'字符,如果是,则认为字符串结束了.也就是说我们在构造上传文件保存路径时,只要欺骗计算机,让他认为类似"uploadface\zwell.asp"这样的路径参数已经结束了,这样,后面一连串的时间字符我们都可以不要,从而达到直接将文件保存为我们定义的文件名的目的。# D2 L- n, W: y
    因此,在构造的POST数据包中,将表单中的filepath改成类似uploadface\zwell.asp'\0'的字符串然后发送出去就行了。9 x1 |) n1 g4 u/ z% d
    也就是说,恶意提交的formPath中只要包含'\0',filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt语句得到的
    % C3 u4 R* N6 [; Nfilename就只有formPath了,后面的&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt部分都给丢弃乐,因此可以随意生成.asp等文件了。. m. m: \, P# B6 k
    解决方法,我想在filename=之前,先对formPath的内容进行过滤,把'\0'改成空格什么的,就可以防止这个漏洞了。asp我不熟悉,不知对'\0'检测用什么语句可以
    8 N) [$ M. b( D! U1 b; F6 Q; r关于这个漏洞的详细说明,见http://www.xfocus.net/articles/200405/700.html
    2 \# b2 R; p* F" ~/ L2 b
    雨中蝎子 该用户已被删除
    10
    发表于 2004-5-28 10:25:00 | 只看该作者
    偶八是斑竹,先闪过。。。。
  • TA的每日心情
    奋斗
    2015-9-17 00:58
  • 签到天数: 1 天

    [LV.1]初来乍到

    11
    发表于 2004-5-28 17:55:00 | 只看该作者
    呵呵,一个不大不小的漏洞,不过这个也不是用javascript可以利用的,要写socket程序才可以利用。

    该用户从未签到

    12
    发表于 2004-5-28 19:26:00 | 只看该作者
    呵呵~!
    ) h9 A0 X. z9 ~$ Q3 e" e4 g) Q
    , `3 c% E. g" ~) j4 B8 M这个问题应该说比较严重!8 m% \' u2 ^5 e2 I. s0 h

    * k0 Y# G8 w* O1 r稍不注意就会泄露cookie,被人利用!. g( f2 M7 }3 N% a% n, z+ M

    % b; v. U" Q  x; L3 B7 L+ T! ^8 o8 k* j
    [此贴子已经被作者于2004-5-28 19:30:37编辑过]
    , r" c5 m* e- }. v9 f& k+ p

    该用户从未签到

    13
    发表于 2004-5-28 22:03:00 | 只看该作者
    以下是引用yzhlinux在2004-5-28 17:55:55的发言:2 T' G* _! J3 d( k" l 呵呵,一个不大不小的漏洞,不过这个也不是用javascript可以利用的,要写socket程序才可以利用。
    Q: b) x6 ? b# Q7 s 如果先用sniff软件抓出正常POST数据,稍作修改,保存为aa.txt) G5 Z5 |5 E8 X: c1 g+ t) H 然后telnet IP 80 1 I; P" L- Y- o7 @8 c% q就可以利用这个漏洞上传文件了 ,不用编写程序 ^^) ! p# e; u, g8 P- e/ @# k z. d: H5 G% l9 Z$ u
  • TA的每日心情
    慵懒
    2014-10-21 10:00
  • 签到天数: 2 天

    [LV.1]初来乍到

    14
    发表于 2004-5-30 16:55:00 | 只看该作者
    找到 post_upfile.asp、upfile.asp、z_visual_upfile.asp、NF_visual_upfile.asp、saveannouce_upfile.asp等上传文件(包括所有插件中的上传文件) 6 Y+ D% \- S9 j: n9 f& d/ G, S6 `- `2 `9 c' q1 s0 T, _' r 查找文件中的代码:2 o# X9 ^+ j) f- ~/ D FileExt=Lcase(File.FileExt) : I, ^7 l( {. N7 G4 x9 d, [# m '判断文件类型 7 g2 i# g2 N" e! c4 v8 c If CheckFileExt(FileExt)=false then5 H0 Q& n- N! J2 F* M' o Response.write "文件格式不正确,或不能为空 [ 重新上传 ]" 1 h* J2 R. P: v: l0 A EXIT SUB9 {) \; N& D- L End If" d4 D0 X3 ]! c( Q4 r, }4 q" i% u + c2 r5 s8 |( C( ` s7 p/ ~& J 将其中的 7 l1 k* c0 x) {: E2 ]" m9 M6 P9 ]FileExt=Lcase(File.FileExt) : y" L$ G0 W0 o/ y, S; ~) s; X 9 t0 Y' _/ D/ {) J9 c3 X替换为下面代码: 8 X1 ~ I1 n z2 e* h4 a ~ 9 [% {& o/ n- g' }5 DFileExt=FixName(File.FileExt)4 O1 r e5 i2 G7 A: X $ i- N2 ~& D& EformPath= Replace(Replace(formPath,Chr(0),""),".","") & c5 v7 q- ^9 p8 h; F2 ], t 8 s' h4 \& u! ~- `下面的代码放在asp文件的最后 "%>"前& L9 Q" p N3 z! u! _/ L% r Function FixName(UpFileExt) * W& u, V/ _- y) \8 w7 yIf IsEmpty(UpFileExt) Then Exit Function # w5 c8 ?" |4 Y1 LFixName = Lcase(UpFileExt) . u) t1 m0 Y- B' |( }FixName = Replace(FixName,Chr(0),"") |2 z% l* |+ e FixName = Replace(FixName,".","")# v$ g& I2 A5 b) `+ S) R3 t FixName = Replace(FixName,"asp","") $ `; m, U; P4 [- y* x: cFixName = Replace(FixName,"asa","") # W6 w$ x( u2 r" e& ?FixName = Replace(FixName,"aspx","") $ k- B3 L8 q0 v- OFixName = Replace(FixName,"cer","")3 E8 b! V3 b$ B FixName = Replace(FixName,"cdx","")2 f- c# S1 [1 o6 g0 D z r; N$ e; s FixName = Replace(FixName,"htr","")/ R T2 ?8 a* B5 X- { FixName = Replace(FixName,"php","")9 w4 ?7 Y6 H0 t+ z- ?) Q2 V" X" j End Function ( x$ S3 b- g7 K9 B. Z+ u4 c& Y" M5 w- _$ W' o' \+ D, e5 @" X 5 T( Y+ w1 g& j. C

    该用户从未签到

    15
    发表于 2004-5-30 17:32:00 | 只看该作者
    我认为主要应该对提交的文件全路径filepath进行过滤
    $ o  K1 Q/ _) D, ]- I例如提交一个uploadface\aaa.asp+'\0'+.jpg 文件,从文件的扩展名File.FileExt得到的是合法的.jpg文件类型,但是利用漏洞上传后,产生为aaa.asp 非法文件,则才是这个漏洞的关键。& l1 W6 m' M* G+ l/ ~. H
    , g' G& z( |* z$ v, l
    ‘我累了‘前面提到的禁止uploadface目录的执行和脚本权限也许可防范。1 v: V/ K; A7 |+ D1 N3 L+ K
    8 `# w' j# r4 |8 x! s+ ?" H' N" }
    不过不知道Dvbbs 是否对上传的路径进行了限定,否则把filepath改成"c:/winnt/aa.exe+'\0'+.jpg 或者../../../aa.exe+'\0'+.jpg 什么的,这洞就有点大了
    ) d9 z3 k# ?% h! q* Z
    # Y. x1 r& R8 Q
    [此贴子已经被作者于2004-5-30 17:43:02编辑过]

    7 X0 {) Q3 D$ C: n

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表