新云網(wǎng)站管理系統(tǒng)任意文件漏洞_安全教程_腳本之家

獨孤九劍8 2016-01-27

展開全文

問題出現(xiàn)在flash/downfile.asp上，大家先看看代碼

<%
Dim url,strUrl,strPath
url = Replace(Replace(Replace(Request('url'), ''', ''), '%', ''), '\', '/')
//首先先進行一些字符的替換，'換成空，%也換成空，\換成/

If Len(url) > 3 Then
If Left(url,1) = '/' Then
Response.Redirect url //如果用戶提交的url第一個字符是/，那直接轉(zhuǎn)向url
End If
If Left(url,3) = '../' Then
Response.Redirect url //同上，意思就是不給你用../跳轉(zhuǎn)目錄
End If
strUrl = Left(url,10)
If InStr(strUrl, '://') > 0 Then //這個，汗·～～://不懂干什么用的
Response.Redirect url
End If
If InStr(url, '/') > 0 Then
strPath = Server.MapPath('.') & '\' & url //補充物理地址了
strPath = Replace(strPath, '/', '\') //替換/為\呢
Call downThisFile(strPath) //HOHO～～開始下載了
Else
Response.Redirect url
End If
End If

Sub downThisFile(thePath)
Response.Clear
On Error Resume Next
Dim stream, fileName, fileContentType

fileName = split(thePath,'\')(UBound(split(thePath,'\')))
Set stream = Server.CreateObject('adodb.stream')
stream.Open
stream.Type = 1
stream.LoadFromFile(thePath)
Response.AddHeader 'Content-Disposition', 'attachment; filename=' & fileName
Response.AddHeader 'Content-Length', stream.Size
Response.Charset = 'UTF-8'
Response.ContentType = 'application/octet-stream'
Response.BinaryWrite stream.Read
Response.Flush
stream.Close
Set stream = Nothing
End Sub
%>
似乎是url都處理掉了，是不可能用../跳轉(zhuǎn)目錄的。但是，他判斷../很奇怪，就判斷url的前三個字符而已。所以，嘿嘿！前三個字符不能是../，難道我后面不能是嗎？于是構(gòu)造一下url參數(shù)為'uploadfile/../../conn.asp'，于是總體的地址就是http://127.0.0.1/flash/downfile.asp?url=uploadfile/../../conn.asp。嘿嘿～～conn.asp文件下載下來了吧。
這套整站程序用的人還是挺多的，我甚至看到有兩個黑客類的網(wǎng)站使用它。但是不約而同的是這個漏洞都存在。可以說，這個漏洞是通殺現(xiàn)在網(wǎng)上所有使用新云的系統(tǒng)的，連10.18出來的sp1都沒補上。但是，很多大站都是使用sql版本的，而且主機又屏蔽了1433端口，于是，利用就成了問題。對于access的系統(tǒng)，只要后臺沒改名，而且md5密碼可以通過www.cmd5.com來查詢，后臺又有著數(shù)據(jù)庫備份的功能，獲得webshell是不成問題的。