论坛管理员来看看吧

打开下面这个连接
4 p9 G6 T4 \" f8 v! f, P" yhttp://bbs.echot.net/UploadFace/20045242285039363.gif

煎饼

谢谢你，请和我联系一下

上传文件之后把首尾的代码去掉不就这样了吗，呵呵，晕 {仅仅是引起注意而已}

/ |1 y% w) m% p问题是， 这个 ASP 文件怎么上传进来的，而且被错误的执行为 gif 文件,如果这个asp带有病毒的话，就会有很多电脑受害。

我也不知道怎么解决，联系我也没用，反正这是动网论坛上传文件的漏洞，你编程水平很高的话自己修改原代码吧，或者等待动网论坛的官方补丁，相信很快就出来了


6 S" D$ j! [/ `: Z

晕，这样都行，煎饼遇到难题了呵

我累了

设置一下 uploadface 不能执行程序就好了

超帅

没那么简单!直接把这个uploadface 删除了

我累了

设置过权限之后就不能执行程序了，html没有什么用

gun

好象在哪本书上介绍过！
动网6.0 6.1 都有这个漏洞！
6 d& a- T+ |( m" }4 \如果构造下 javascript代码还可能会得到会员和管理员的cookie，这个听起来很可怕啊！
2 o9 y7 a! U6 A) g

hzzh

这个是动网论坛的上传文件漏洞
' h3 @3 Q, S# S5 d5 e% X( }! }主要问题出在asp无组件上传的代码中，以下这一句上
filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt
$ P& H3 Z% i% c+ S! d8 U这句话将一段字符串合并起来，生成保存的文件名filename，formPath是表单提交的变量。
1 F- @# K6 D6 i5 D- F如果设法构造formPath：在计算机中检测字符串的关键就是看是否碰到'\0'字符,如果是,则认为字符串结束了.也就是说我们在构造上传文件保存路径时,只要欺骗计算机,让他认为类似"uploadface\zwell.asp"这样的路径参数已经结束了,这样,后面一连串的时间字符我们都可以不要,从而达到直接将文件保存为我们定义的文件名的目的。
因此,在构造的POST数据包中,将表单中的filepath改成类似uploadface\zwell.asp'\0'的字符串然后发送出去就行了。
; x& u  o$ y' r$ S% @3 K# s也就是说，恶意提交的formPath中只要包含'\0'，filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt语句得到的
% B! l2 f8 b; V; _2 y) kfilename就只有formPath了，后面的&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt部分都给丢弃乐，因此可以随意生成.asp等文件了。
8 q8 ?6 C1 L9 k5 p; e解决方法，我想在filename=之前，先对formPath的内容进行过滤，把'\0'改成空格什么的，就可以防止这个漏洞了。asp我不熟悉，不知对'\0'检测用什么语句可以
关于这个漏洞的详细说明，见http://www.xfocus.net/articles/200405/700.html
3 R. s/ @2 o0 Y& W# v& {/ @

偶八是斑竹，先闪过。。。。

yzhlinux

呵呵，一个不大不小的漏洞，不过这个也不是用javascript可以利用的，要写socket程序才可以利用。

gun

呵呵~！
  E( \  h- P9 K- a# f# O
这个问题应该说比较严重！

稍不注意就会泄露cookie,被人利用！
' j% g5 D( q2 M/ H5 ^/ v
5 I/ A0 X/ r# K( ?* @( y
7 J3 q7 ]  }0 Y+ n9 e6 u! F

[此贴子已经被作者于2004-5-28 19:30:37编辑过]

* I9 T" A: f: R/ O2 A$ P+ [: P

hzzh

以下是引用yzhlinux在2004-5-28 17:55:55的发言： G' R$ {6 Y+ U- }呵呵，一个不大不小的漏洞，不过这个也不是用javascript可以利用的，要写socket程序才可以利用。

! [1 X! L# I/ v! b6 _, i如果先用sniff软件抓出正常POST数据，稍作修改，保存为aa.txt 9 ~, k& ]: L R0 O+ `然后telnet IP 80 $ H) v8 U' v1 y" H4 y2 I9 T就可以利用这个漏洞上传文件了 ,不用编写程序 ^^)

我累了

找到 post_upfile.asp、upfile.asp、z_visual_upfile.asp、NF_visual_upfile.asp、saveannouce_upfile.asp等上传文件(包括所有插件中的上传文件) # S( P- Q" C( j% F; i查找文件中的代码： FileExt=Lcase(File.FileExt) ) N9 k0 h; X8 _. r6 P8 \; j3 o '判断文件类型 If CheckFileExt(FileExt)=false then % f. {' X+ A9 n+ l8 A. `+ r4 g Response.write "文件格式不正确,或不能为空　[ 重新上传 ]" EXIT SUB End If $ i5 X% Y2 N) z: q 将其中的 FileExt=Lcase(File.FileExt) 替换为下面代码： FileExt=FixName(File.FileExt) ) {; {$ f# n7 Z1 B8 n4 n" @# R" x " H9 R# }9 O% @formPath= Replace(Replace(formPath,Chr(0),""),".","") ) T) B( v" V5 O: v0 H$ R. T下面的代码放在asp文件的最后 "%>"前 # F1 ] B7 S8 MFunction FixName(UpFileExt) If IsEmpty(UpFileExt) Then Exit Function - q5 b( p+ e0 K) W$ U, qFixName = Lcase(UpFileExt) ! w. i! P- T7 x0 K0 m8 @. Y( |+ MFixName = Replace(FixName,Chr(0),"") ' y% G6 E6 u, M% ~FixName = Replace(FixName,".","") FixName = Replace(FixName,"asp","") f# _' | h8 |+ j) y2 mFixName = Replace(FixName,"asa","") FixName = Replace(FixName,"aspx","") FixName = Replace(FixName,"cer","") 1 B/ x9 H6 ]) H# C! x3 \8 p0 s+ dFixName = Replace(FixName,"cdx","") * {. I+ v( K' X( {/ {FixName = Replace(FixName,"htr","") FixName = Replace(FixName,"php","") End Function , I6 k" G3 a; p . X& G% D1 p4 `% H. P

hzzh

我认为主要应该对提交的文件全路径filepath进行过滤
例如提交一个uploadface\aaa.asp+'\0'+.jpg 文件，从文件的扩展名File.FileExt得到的是合法的.jpg文件类型，但是利用漏洞上传后，产生为aaa.asp 非法文件，则才是这个漏洞的关键。

2 F) c# U: b7 p4 \' V. u‘我累了‘前面提到的禁止uploadface目录的执行和脚本权限也许可防范。

, |9 m/ s; U; H  z+ T% N不过不知道Dvbbs 是否对上传的路径进行了限定，否则把filepath改成"c:/winnt/aa.exe+'\0'+.jpg 或者../../../aa.exe+'\0'+.jpg 什么的，这洞就有点大了

; ^* \0 p/ X: J- N& [  I

[此贴子已经被作者于2004-5-30 17:43:02编辑过]

' u) u4 J# P5 g& j7 B$ R