http://www.lengmo.net/post/1218/
无意中看见一个图形设计网站,网站全部由静态asp构成,做得十分漂亮。感叹它设计精美的同时,不由心里嘀咕,全静态asp页面的确能防止注入漏洞的产生,但WEB漏洞不止注入这一种,我很想看看这个网站在其他漏洞的防范方面做得如何。
在Google上搜索了一阵,翻到了这个网站的一个上传页面,发现它没有做验证,任何人都可以上传图片文件,于是决定从这里入手。
试着上传.asp文件,直接跳出对话框(图1)
查看源文件,可以看出是用JavaScript在本地做了限制。(图2)
把源文件中的JavaScript代码全部删除,修改post的地址为绝对网址,之后另存为htm文件。再次上传.asp文件,几秒钟后出现结果如图3
可以想到虽然程序没有禁止外部提交数据,但是文件在上传到服务器保存时又做了一遍验证,如果要保存的文件名后缀不合法,则拒绝执行。
以下是源代码中的相关部分(图4)
继续,上传一个正常的图片文件并抓包。(如图5、6)
把抓包得到的数据与上传页面的源文件相对照
抓包数据,如图7
源文件中对应部分如图8
可以发现有很多隐藏的参数在里面,而这些参数的值默认都是空的。如果我们改变这些参数的值,结果会怎样呢?
把源文件中的“hidden”改为“text”,如图9
保存后打开,如图10
现在这些参数的值可以自己构造了
试验着改参数值上传了几次之后,摸到了一点规律。
把参数“mulu”对应的值改为asp.asp,试试上传gif后缀的asp小马
上传成功
由抓包的数据中找到上传路径,提交看看,
出现了可爱的画面。
可以想到这个上传程序的运行方式是,在处理参数“mulu”的值的时候,如果值不为空则创建,于是就在服务器上创建了一个“asp.asp”目录。
以下是源代码中的相关部分
可以看到对提交的变量只是简单的把“/”转换成了“\” ,其他没有做任何过滤。这里即漏洞所在。
Win2003存在着一个文件解析路径的漏洞,当文件夹名为类似asp.asp的时候(即文件夹名看起来像一个ASP文件的文件名),此时此文件夹下的文本类型的文件都可以在IIS中被当做ASP程序来执行,因此我们上传的xiaoma.gif被作为asp程序执行了。
之后就是写个大点的webshell进去,如图15
结果出错,无法写入
换了几个小马都是如此,看来不是小马的问题,可能FSO组件被禁用或者改名了。
直接上传大马不能执行
大概是服务器解析目录“asp.asp”的时候把这个目录当作了asp文件,因此出错。
为了看清楚些,把asp探针文件后缀改为gif传了上去。
这么看就明白了。
怎么突破呢?可以看到,虽然禁用了FSO组件,但是WScript.Shell组件和Shell.Application组件还在,我们可以用它们来读写文件,只要把用WScript.Shell组件或Shell.Application组件读写文件的webshell写到“asp.asp”以外的web目录里执行就可以了。
这里可以利用的写文件方法很多,如XML写文件,JMail写文件,ASPUpload上传都可以。这里我用ASPUpload上传。
构造两个文件“本地提交用.htm”和“upload.gif”,代码如图21
upload.gif上传到服务器,本地提交用.htm 用于本地打开提交上传文件。
成功上传海洋顶端木马到上一层目录,并可以正常使用。
服务器的权限设置不严,webshell可以浏览所有文件及目录,同时SERV-U为默认设置且没有设置管理密码,还是system启动服务运行的。(=_=!)
很容易地利用SERV-U提升权限,并添加管理员用户sai52
本次检测到这里就结束了。这个网站安全方面外紧内松,程序员和管理员都有责任,不过我个人认为,主要还是管理员的责任<!---->
分享到:
相关推荐
上传漏洞利用工具或者filepath变量利用工具(老兵的)...但是最基本的没改啊。。 而且很对网站的插件里有类似的漏洞,我要说的不要依赖哪些专门的工具 自己改WSE抓到的包里的filepath变量,然后在用NC提交。。。 就算...
将hidden参数的更改比作对话 将hidden参数的更改比作对话 点击确认,使用Fiddler捕捉以下输入表单的响应报文 将hidden参数的更改比作对话 将hidden参数的更改比作对话 虽然在页面上看不到,但用户在前页面输入的值会...
将hidden参数的更改比作对话实验 将hidden参数的更改比作对话 1、进入“输入-确认-注册页面” 将hidden参数的更改比作对话 2、填写相关注册信息 姓名填写“张三” 邮箱填写zhangsan@example.jp 性别填写“男” 点击...
然后使用它提供的一组简单的JS事件来更新上传状态,开发人员能够利用这些事件来及时更新页面中的上传进度UI。 SWFUpload v2 SWFUpload v2包含了新的高级功能,改善了稳定性,解决了FlashPlayer中的一些bug,并且...
A-Hidden Markov Model 隐马尔科夫模型资料介绍。节选自Speech and Language Processing. Daniel Jurafsky & James H. Martin. Copyright c 2018. All rights reserved. Draft of September 11, 2018.
本文实例讲述了jQuery可见性过滤器:hidden和:visibility用法。分享给大家供大家参考。具体分析如下: :hidden 匹配所有不可见元素,如果使用css的visibility属性让元素不显示但是占位,则不属于hidden了 查找...
上传EXP by Mr.DzY <form action="" method=post enctype="multipart/form-data"> <INPUT TYPE="hidden" name="MAX_FILE_SIZE" value="50"> 网址:...
关于 Hidden Markov Models 的一篇论文
Web应用安全:通过hidden隐藏域和URL参数文本.docx
《Inference in Hidden Markov Models》,这是非常好的一本书,对于研究HMMS的人很有价值!
运行tcl脚本来实现隐藏节点问题,再通过nam仿真动画...注意:请下载全所有的文件后进行仿真,仿真时需下载好mudp.cc、mudp.h、mudpsink.cc、mudpsink.h 模块在ns2上编译后即可使用Hidden_Terminal.tcl文件进行仿真。
Wallpaper_Engine Hidden In Flowers
Hidden Bar For Mac特好用的菜单栏应用图标隐藏工具,Hidden Bar mac中文版可以设置全局热键以及一定时间后自动隐藏软件 icon 的设定
css中overflow:hidden CSS样式可以隐藏溢出的部分 好处就是可以防止网页变形
WinMend Folder Hidden 這是一套免費的資料夾或檔案的管理軟體,可以隱藏資料夾或者檔案不讓他人看到及開啟,安裝後初次開啟會請你設定一個密碼,之後你就可以自行管理了,這個軟體沒有中文版本,但我想可能會造成...
ns3实验代码,用于网络实验模拟仿真等。wifi-hidden-stations
WinMend-Folder-Hidden
hidden Markov models