爆出動易程序的物理路徑
大家還記得動易MY Power Ver 3.51的那個上傳cer文件的漏洞吧?那可是n年以前的一個傑作,一定都用它入侵了不少站點了。他利用的就是用
<INPUT class=tx1 type=file size=30 name=FileName> <INPUT class=tx1 type=file size=30 name=FileName1>
這兩句來提交,結果第一個FileName提交的合法文件通過了驗證,第二個FileName1竟然繞過了這個驗證,之所以可以上傳cer,不能上傳asp,是因爲asp還有驗證。關鍵就是用那兩句話繞了過去。(提示:cer文件和asp文件在iis中默認用同一個解釋器來解釋,就是說相對於用戶,服務器怎麼執行asp,就怎麼執行cer。上傳的擴展名爲cer的asp木馬,一樣可以正常使用)
說實話,我有時候喜歡把MY Power和FreePower弄混,雖然有區別,但是我總以爲是版本不一樣,鬧笑話了。我用MY Power Ver 3.51用來上傳cer文件的漏洞利用程序(就是那個更改後的htm文件)把地址改爲FreePower的upfile_softpic.asp。地址爲www.******.com/editor/upfile_softpic.asp。卻出現了“頻道參數丟失!”這個錯誤。我當時以爲是版本不一樣,所以提交的數據也不一樣。
在本地用winsock監聽數據包,利用asp的空字節漏洞(nc提交用ultraedit修改後的數據)提交之後仍然錯誤。我想:“這也不行,那個提交cer的也不行,等等!提交cer的不是不行,是版本不一樣,那麼我也許可以在這個版本上修改“提交上傳文件”這個文件的源代碼,然後本地提交呢?”
查看http://www.******/editor/upload_article.asp?ChannelID=1源代碼
<form action="upfile_article.asp" method="post" name="form1" onSubmit="return check()" enctype="multipart/form-data">
//改上句action="upfile_article.asp"爲http://www.******/editor/upfile_article.asp
<input name="FileName" type="FILE" class="tx1" size="20">
<input name="FileName" type="FILE" class="tx1" size="20">(另加一行)
<input type="submit" name="Submit" value="上傳" style="border:1px double rgb(88,88,88);font:9pt">
<input name="ImgWidth" type="hidden" id="ImgWidth">
<input name="ImgHeight" type="hidden" id="ImgHeight">
<input name="AlignType" type="hidden" id="AlignType">
<input name="ChannelID" type="hidden" id="ChannelID" value="1">
</form>
大家仔細看看有什麼不妥?不錯,按漏洞的使用方法,我應該另加的一行爲<input name="FileName1" type="FILE" class="tx1" size="20">,但是我粗心大意,忘記了。然後選擇了兩個文件,前一個是gif,後一個是cer,按照開始提到的規矩來,點上傳。
出現錯誤!但是這個錯誤好像很好玩,竟然給出了站點的物理路徑!
Microsoft VBScript 運行時錯誤 錯誤 '800a01c9'
此鍵已與該集合的一個元素關聯
D:/WWWROOT/BIZ******1/WWWROOT/EDITOR/../inc/upfile_class.asp,行 104
我沒有因爲入侵成功而高興,反而因爲出錯了讓我激動了一會兒!這個爆出物理路徑的錯誤以前就沒有人提到,莫非發現了好東西?趕快到動易主站查看他的客戶名單,隨便撈了幾個站出來,在管理員登陸葉面看看版本,Powered by: MyPower 4.0。然後執行上面的操作,竟然同樣爆出了物理路徑。這樣還是不放心,又去找個幾個使用Powered by: MyPower 4.0的黑客安全網站(他們是搞安全的,如果是個已經發現的漏洞,應該會不存在的)。我找的幾個都給出了物理路徑!激動ing!(難道傳說中的黑客都是這樣發現新漏洞的?)
於是總結了漏洞的使用條件
1 版本Powered by: MyPower 4.0
2 要登陸後留下Cookies(意思就是可以註冊並登陸)
3 inc/upfile_class.asp和upfile_article.asp存在,經測試,凡調用inc/upfile_class.asp的幾個文件upfile_article.asp, upfile_softpic.asp等等都可以成功!
4 服務器沒有屏蔽Microsoft VBScript 運行時錯誤的提示信息。(比如華夏的用這種方法會出現“處理 URL 時服務器出錯。請與系統管理員聯繫。”)
利用過程就是上面提到的了。
空虛浪子心