lake2的专栏

千秋邈矣独留我，百战归来再读书

用户操作

[即时聊天] [发私信] [加为好友]

lake2ID：lake2

共223092次访问，排名296好友1人，关注者9人
懒

lake2的文章

原创 66 篇

翻译 0 篇

转载 0 篇

评论 579 篇

lake2的公告

好好学习

最近评论

BaiShi_：密码有多弱全数字的还是全鸟文?

lake2：欢迎欢迎：）
呃，你不要改我密码哦

cqg1220：机柜

文章分类

收藏

相册

About

Friends

Online

Technology

World

存档

软件项目交易

订阅我的博客

利用%5c绕过验证收藏

新一篇: 遭遇浏览器劫持——“天下搜索” | 旧一篇: ASP后门之终极伪装

利用%5c绕过验证

---------------------------------------
lake2（http://mrhupo.126.com）
2004-11-27
---------------------------------------

说到%5c，你是不是想起了当前流行的那个%5c暴库漏洞，呵呵，本文就是对%5c利用的探索（呵呵，当然有我提出的新东东，或许对你有帮助哦^_^）。

好，我们先追根溯源，找到那个漏洞的老底。看看绿盟2001年的漏洞公告：http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=1429

N年以前利用这个漏洞可以实现目录遍历，虽然微软出了补丁，不过好像补丁是用来限制iis只能访问虚拟目录的，所以漏洞还是存在，只不过利用方式变了。对iis来说，提交一个含有%5c的url能够找到文件，但是该文件里以相对路径引用的其他文件却找不到了（%5c是\的url编码，iis跳转到上一级目录去找，当然找不到；头晕了吧，哈哈，我也头晕啊）。

后来这个漏洞就被牛人挖掘出来了，也就是传说中的%5c暴库：由于连接数据库的文件引用的相对路径，提交%5c找不到文件，所以导致出错，iis就会老老实实的说出数据库的路径（不明白？找google）。

一个偶然的机会我发现还可以利用%5c绕过asp的验证；当我们暴库失败的时候不妨试试。

废话少说，看下面的代码：

<%
guest_user=trim(request("guest_user"))
guest_password=trim(request("guest_password"))
Set rs= Server.CreateObject("ADODB.Recordset")
sql="select * from admin where id=1"
rs.open sql,conn,3,2
readuser=rs("guest_user")
readpassword=rs("guest_password")
if readuser<>guest_user or readpassword<>guest_password then
      response.write "请输入正确地管理员密码！"
      response.end
else
      session("admin")=1 '登陆后写入seesion中保存
      response.write("登陆成功，请返回信息页")
end if
%>

看到没有，要想通过验证必须让数据库里的用户名密码与提交的一致；想到什么？让我们再看看数据库连接文件代码：

<%
        on error resume next
   set conn=server.createobject("adodb.connection")
        DBPath = Server.MapPath("guestbook.asp")
        conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
%>

啊，有容错语句不能暴库！等等，如果提交%5c数据库找不到，由于容错，所以程序会继续执行，那么说来从数据库得到的用户名密码皆为空（想想有时暴库失败是不是看到空空的框架，因为数据都是空嘛），哈哈，这样我们就绕过验证了！

知道怎么做了吧，把登陆页面保存到本地，修改提交的url，把最后一个/改成%5c，用户名密码用空格（有的程序会检查用户名密码是否为空，空格会被程序过滤），提交，就ok了。

诶，各位不要以为我自己没事写段代码来捣鼓，实际上这个是我们学校一个高手做的留言板程序，就挂在学校的主页，呵呵。

既然弄懂了原理，当然要找实际漏洞啦，自然是拿大名鼎鼎的“洞”网论坛开刀。不过失败了，因为它的数据库连接文件里有这么一段：

If Err Then
     err.Clear
     Set Conn = Nothing
     Response.Write "数据库连接出错，请检查连接字串。"
     Response.End
End If

数据库找不到程序就结束了，呵呵，空欢喜一场。

接着又去down了bbsxp论坛，打开数据库连接文件，晕，根本没有容错语句；呵呵，不过可以暴库哦。

我又不是BT，所以不去找事了，写篇文章，算是给各位高手提供资料吧。

总结一下这个攻击方法成功的条件：1、数据库连接用的相对路径且仅有简单的容错语句；2、服务器iis版本为4或5；3、程序里不检查空字符或者检查时不过滤空格而比较时过滤空格；4、程序不能位于一级目录

至于防范，呵呵，既然攻击条件知道了，防范措施自然也出来了^_^

PS：绕过验证之后可能会找不到管理页面，自己动手改改url吧：）

发表于 @ 2004年11月28日 09:09:00|评论(loading...)|编辑

新一篇: 遭遇浏览器劫持——“天下搜索” | 旧一篇: ASP后门之终极伪装

#lake2 发表于2004-11-29 12:54:00 IP: 221.10.53.*: 呵呵，本文在安全焦点列为精华，看：https://www.xfocus.net/bbs/index.php?act=ST&f=2&t=43512

#KING424 发表于2004-12-07 16:43:00 IP: 61.49.195.*: 不知道如何手工修改url能到达管理页面呢....
比方说我要到达的管理页面是www.xxx.com/xxx/mian.asp.

#lake2 发表于2004-12-12 09:31:00 IP: 222.209.208.*: 经如果这个方法成功，url可能会变成www.xxx.com/mian.asp，呵呵，知道怎么做了把：）

#ak 发表于2004-12-13 13:56:00 IP: 221.229.237.*: 需要验证码的可以跳过吗？
我手工修改url也不能到达管理页面
总是显示找不到该页

#inday 发表于2004-12-21 15:00:00 IP: 218.1.216.*: 明白了，到达了上一个目录里面，这样的话是绕过认证了，不过能否达到得到session的作用呢？我试了一个，好像不行

#lake2 发表于2004-12-25 09:55:00 IP: 221.237.28.*: ak：找不到管理页面？莫非并不存在？
inday：绕过认证自然得到session，至少文中提到的代码如此
感谢二位

#kuhanzhu 发表于2006-07-27 07:43:00 IP: 218.72.145.*: 需要验证码的可以跳过吗？
……………………
可以试着用多页面浏览器，我的Sleipnir浏览器把页面关了，再打开，session都不会消失，有时候过个小时也不消失。
验证码信息就是以session方式保存在服务器上的。

发表评论

姓名：
主页：
校验码：看不清,换一张

当前用户设置只有注册用户才能发表评论。如果你没有登录，请点击登录