黑基Web安全攻防班
黑基网 首页 IT技术 安全攻防 查看内容

动网--乾坤大挪移大法

2004-9-29 20:05| 投稿: security

摘要: 动网--乾坤大挪移大法 漏洞来源:DVBBS V6.0,V6.1 For 任何版.  发现漏洞日期:2003-12-21测试目标: 内部局域网机子.win2k,DVBBS For ACCES...
动网--乾坤大挪移大法 漏洞来源:DVBBS V6.0,V6.1 For 任何版.  发现漏洞日期:2003-12-21测试目标: 内部局域网机子.win2k,DVBBS For ACCESS V6.1 开场白:   首先,这不是一篇小说,这是一篇技术性的文章,一个关于怎么发现这个脚本漏洞,利用漏洞,以及体现它最大利用价值的文章.当然最后我们也给出了安全补丁。这个漏洞,比AK47利害,他能杀人于无形中。 网管根本找不到任何日志。其最终结果,我们可以摧毁他的主页,让论坛关门,也可以直接下载他的数据库。这就是我今天要为大家介绍的:动网--乾坤大挪移大法之要饭版.   乾坤大挪移大法的秘诀和一般的脚本秘诀不一样,他深藏在动网的两个脚本文件当中,这里我只介绍一个就行了。另一个文件大家看了这篇文章自然就明白了.当然自己也能找到得另一个文件咯. 一、寻找乾坤大挪移大法   打开动网论坛脚本文件:MYMODIFY.ASP让我们来找吧.  代码如下: ......sub update() ......  '对上传头象进行过滤与改名 If Cint(Dvbbs.Forum_Setting(7))=1 Then    On Error Resume Next    dim objFSO,upfilename,newfilename    dim upface,memberid    set rs=conn.execute("select userid,face from [user] where userid="&Dvbbs.userid)    memberid=rs(0)    upface=trim(rs(1))    newfilename="" upfilename=split(upface,"/") if ubound(upfilename)=1 and upfilename(0)="uploadFace"  then  if  instr(upfilename(1),"_")=0 then   newfilename="uploadFace/"&memberid&"_"&upfilename(1)   Set objFSO = Server.CreateObject("Scripting.FileSystemObject")   if objFSO.fileExists(Server.MapPath(upface)) then    objFSO.movefile ""&Server.MapPath(upface)&"",""&Server.MapPath(newfilename)&""   end if   If Err.Number = 0 Then    Conn.Execute("update [user] set face='"&replace(newfilename,"'","")&"' where userid="&Dvbbs.userid)   end if   set objFSO=nothing  end if end if rs.close set rs=nothingend if'对上传头象进行过滤与改名结束'****************end sub.....让我们一步一步来分析这段代码.来看:  memberid =rs(0) 取出用户库中的ID号.  upface=trim(rs(1)) 取出自定义头像的路径.  upfilename=split(upface,"/") 用"/"符号把upface分开.  if ubound(upfilename)=1 and upfilename(0)="uploadFace"  then    如果upfilename被分成两部分,以及第一部分的值为:"uploadFace"    if  instr(upfilename(1),"_")=0 then    如果upfilename的第二部分不包含"_"符号    newfilename="uploadFace/"&memberid&"_"&upfilename(1)    newfilename就等于uploadFace/+用户的ID号+"_"+upfilename的第二部分.    if objFSO.fileExists(Server.MapPath(upface)) then    如果检测到upface这个路径的文件存在的话.好,最关键的地方来了。这就是移动的核心代码:    objFSO.movefile ""&Server.MapPath(upface)&"",""&Server.MapPath(newfilename)&""    把upface变量中的文件移动并改名为newfilename变量中的文件.    Conn.Execute("update [user] set face='"&replace(newfilename,"'","")&"' where userid="&Dvbbs.userid)    更新库中face字段的值.OK,代码分析完毕.大家应该看明白了。如果没有看明白,就跳转到:"让我们一步一步来分析这段代码"继续看. 二、修练乾坤大挪移大法   也许你还没有看出这段代码有什么不对的地方.好,现在让我来为你解释吧.  大家都知道在DOS中 "." 和".."的用法吧.在IE和中一样可以使用.  如: http://ip/abc/../a.asp = http://ip/a.asp的.  并且"/"和"\"在IE中输入的时候没有什么区别.  不相信,你试试:http://ip/a.asp和http://ip\a.asp.都是指向的一个页面. 但是动网的人只判断了"/"符号,以"/"符号作为分隔符.误解了法佛,让乾坤大挪移流传下来.  现在我们来举个例子.  如果在库中的face字段为:uploadFace/.\..\index.asp 那么当我们执行这段代码的时候会发生什么?  首先:upfilename被"/"分成两部分.   第一部分:upfilename(0)=uploadFace  第二部分:upfilename(1)=.\..\index.asp  看着代码我们往下走.  if ubound(upfilename)=1 and upfilename(0)="uploadFace"  then  条件满足.请注意:uploadFace中的F是大写的.  if  instr(upfilename(1),"_")=0 then  条件满足.  newfilename="uploadFace/"&memberid&"_"&upfilename(1)    假如我们的用户ID号为:9 那么:    newfilename="uplodFace/9_.\..\index.asp"    实际上是等同于:newfilename="uploadFace/index.asp"    if objFSO.fileExists(Server.MapPath(upface)) then     upface 是等于 uploadFace/.\..\index.asp        实际上直接等同于:index.asp的.   当然检测到这个文件的.然后下面他就开始移动文件了。看代码.   objFSO.movefile ""&Server.MapPath(upface)&"",""&Server.MapPath(newfilename)&""   看uploadFace/..\..\index.asp移动并改名为:uplodFace/9_.\..\index.asp   经过我们的转换就是:把index.asp移动到uplodFace/index.asp看明白了吧!好,修练成功,我们来利用移动大法. 三、运用乾坤大挪移大法,杀人于无形. 先在动网的论坛中注册一个账号.然后我们点击菜单.用户控制面板->基本资料修改.好了,现在我们就在  自定义头像地址: 后面的输入框中把默认的:userface/image1.gif 改成:uploadFace/.\..\index.asp然后点击更新.输入的东西第一次会保存在数据库当然.还不会移动。因为修改的值还没有被读出来。我们再次点进基本资料修改。再次输入:uploadFace/.\..\index.asp呵呵,这次你再进主页就打不开了。因为已经被移动了uploadFace目录下去了.如果在uploadFace目录下有index.asp移动会失败。不会自动覆盖.有一点值得提醒的就是如果我们把conn.asp移动到uploadFace目录下,那么打开http://ip/dvbbs/uplodFace/conn.asp应该报出数据库绝对路径。不过这个CONN.ASP本身就存在问题,直接输入http://ip/conn.asp有错误提示,所以我COPY过去也失败了。因为这个错误在报数据库路径之前。哎。。。如果能得到数据库绝对路径该多好啊。大家想想看有没有什么办法移动硬盘上的文件,这个我还没有去研究时间太紧了!发现方法的朋友请第一时间通知我哟!   四、乾坤大挪移大法,生可生,灭可灭 我们为这个漏洞打个补丁吧,因为危害太多了。以POST提交数据,管理员查不到日志,并且可以移动动网论坛中的任何文件.分析一下这个漏洞造成的原因就是:没有过滤好"\"符号.  我们把这句代码:if  instr(upfilename(1),"_")=0 then  改成  if instr(upfilename(1),"_")=0 and instr(upfilename(1),"\")=0 then 看就是判断upfilename中不要包括"\"符号.   好这样,补丁打好了!  同时在这里我还发现了可以输入HTML语句大家自己测试一下.  如在自定义路径输入框中输入:uploadFace/mm.jpg><b>要饭</b  呵呵没有过滤好,点击更新,再次返回到基本资料你会看到有要饭两个字在上面变成粗体了。至于怎么利用。 地球人都知道,我就不说了。今天主要是为大家介绍这个移动大法.再闪人之前,为大家送了一个好东东。 请注意看光盘中的动画文件.有本教程的演示实例!  五、结束闪人.    本漏洞对动网论坛的危害是相当大的。可以移动论坛中的任何文件到uploadFace目录下.    请大家不要利用本漏洞破坏网上论坛。我这只是做了一个测试!并没有去破坏任何数据.  希望动网官方的人员及时打上补丁.   编写人员:臭要饭的!2003-12-25

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部