YXBBS 2.3論壇系統後臺拿shell 轉自紅黑聯盟

• 昨晚無聊，在幫朋友看一個站過程中碰到了個網站。論壇YxBbS2.3版，管理員弱口令admin admin/很容易就到了後臺。進去之後，既沒有備份，上傳文件類型cer,asa,php等都被過濾了（在Saveupload.asp）

   
  
  
  嘗試着在頭像上傳那裏抓包修改然後nc上傳，都失敗了。折騰了許久，本來想放棄了後來想起了iis解析漏洞，於是試着在上傳頭像類型那裏，添加asa;.jpg類型，然後前臺上傳頭像1.asa;.jpg（該論壇系統頭像是上傳到/PreviousFile/head/目錄下)可惜生成的是/PreviousFile/head/1.jpg,沒有達到利用解析漏洞的目的。後來就想着把後面那個"."去掉試試，於是隨便添加一種類似asa;aa asa;123的文件類型

   

   

   

  再到前臺上傳頭像，得到PreviousFile/head/1.asa;bb這個文件，成功利用解析漏洞。

  
  後在本機架設的YXBBS3.0版本測試也是成功的（順帶一點3.0還可以用備份到.asa/目錄取得shell)

   

   

  ◆這就爲偶們小菜提供了一個思路，以後***過程中可以通過添加asa;111 asa;aaa等類型（;後面自由命名只要沒有.），上傳文件取得權限（當然前提是web由iis架設的）

   

  ◆類似也可用在“fckeditor將”.”轉爲”_”的問題上，因爲某些版本的fckeditor會將最後一個"."前的所有”.”都轉化 爲"_"，因此用asa;111,php;11等類型的文件擴展名，就可以將文件名控制在一個”.”內，從而起到利用解析的目的(網上也有通過二次上傳從 而得到有兩個”.”的解析shell----------1.asa;1(1).jpg）

   

  ●相比之下，網站系統開 發人員可能要費心了------------------------得過對;這個符號以及cer,asa，php,cdx等敏感擴展名積極過濾, 或者將上傳類型限定僅爲gif,jpg,rar,png,doc,xls等常用類型，輔以隨機數命名文件(測試了DVBBS8.2及科訊CMS，兩者都過 濾的很好，disuz沒測試)。

   

  ●     LAST,偶然也發現了1.asa;asa（帶個就0k了）這種shell，在webshell裏貌似刪不掉.