青海網站建設、網絡推廣最好的公司--您身邊的網站建設專家,馬上拿起電話,聯系我們:0971-8235355   
黑龙江11选5预测网 黑龙江11选5预测网 |  公司簡介 |  網站建設 |  網絡推廣 |  空間租用 |  域名注冊 |  企業郵局 |  網絡安全 |  網站編程 |  客服中心 |  聯系我們 |  人才招聘
 
西寧威勢最新網站制做案例展示
Lastest Project
 
西寧網站建設  
當前位置為:黑龙江11选5预测网 >> 腳本安全 >> 正文  
[原創]對一個常見經典的上傳程序漏洞的修補過程

文章來源: 黑龙江11选5预测网     發布時間:2008-12-30    瀏覽次數:12428    tags:ASP上傳漏洞 修補

    本來以為經過國內這些大牛的血洗,上傳漏洞應該變成了傳說,但是我還是能經常遇到好多人向我請教,找我幫忙修補上傳漏洞,以前JESSICA發我一個上傳程序,找我幫忙修補,后來又有N多人也拿著同樣的程序來找我求助,而這些程序呢,幾乎寫法是一模一樣的,可能是有些程序員對上傳程序不太熟悉,直接把別人的程序拿過來用了吧,所以別人程序中的漏洞原樣給照搬過來了。下面我們來看看這段經典的漏洞代碼是怎么樣寫的,又是怎么樣引起漏洞的。

upfile.asp

<!--#include file="Inc/config.asp"-->
<!--#include file="Inc/upload.asp"-->
<%
Server.ScriptTimeOut = 1800
const upload_type=0   '上傳方法:0=無懼無組件上傳類,1=FSO上傳 2=lyfupload,3=aspupload,4=chinaaspupload

dim upload,file,formName,SavePath,filename,fileExt
dim upNum
dim EnableUpload
dim Forumupload
dim ranNum
dim uploadfiletype
dim msg,founderr
msg=""
founderr=false
EnableUpload=false
SavePath = SaveUpFilesPath   '存放上傳文件的目錄
if right(SavePath,1)<>"/" then SavePath=SavePath&"/" '在目錄后加(/)
%>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
</head>
<body>
<%
if EnableUploadFile="No" then
 response.write "系統未開放文件上傳功能"
else
 'if session("name")="" then
 ' response.Write("請登錄后再使用本功能!")
 'else
  select case upload_type
   case 0
    call upload_0()  '使用化境無組件上傳類
   case else
    'response.write "本系統未開放插件功能"
    'response.end
  end select
 'end if
end if
%>
</body>
</html>
<%
sub upload_0()    '使用化境無組件上傳類
 set upload=new upload_file    '建立上傳對象
 for each formName in upload.file '列出所有上傳了的文件
  set file=upload.file(formName)  '生成一個文件對象
  if file.filesize<100 then
    msg="請先選擇你要上傳的文件!"
   founderr=true
  end if
  if file.filesize>(MaxFileSize*1024) then
    msg="文件大小超過了限制,最大只能上傳" & CStr(MaxFileSize) & "K的文件!"
   founderr=true
  end if

  fileExt=lcase(file.FileExt)
  Forumupload=split(UpFileType,"|")
  for i=0 to ubound(Forumupload)
   if fileEXT=trim(Forumupload(i)) then
    EnableUpload=true
    exit for
   end if
  next
  if fileEXT="asp" or fileEXT="asa" or fileEXT="aspx" then
   EnableUpload=false
  end if
  if EnableUpload=false then
   msg="這種文件類型不允許上傳!\n\n只允許上傳這幾種文件類型:" & UpFileType
   founderr=true
  end if
  
  strJS="<SCRIPT language=javascript>" & vbcrlf
  if founderr<>true then
   randomize
   ranNum=int(900*rnd)+100
   filename=SavePath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt
   file.SaveToFile Server.mappath(FileName)   '保存文件

   msg="上傳文件成功!"
   
   strJS=strJS & "parent.HtmlEdit.focus();" & vbcrlf      
   strJS=strJS & "var range = parent.HtmlEdit.document.selection.createRange();" & vbcrlf
   FileType=right(fileExt,3)
   select case FileType
       case "jpg","gif","png","bmp"
     strJS=strJS & "range.pasteHTML('<img src=" & filename & ">');" & vbcrlf
    case "swf"
     strJS=strJS & "range.pasteHTML('<object classid=clsid:D27CDB6E-AE6D-11cf-96B8-444553540000 codebase=//download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=5,0,0,0>"
       strJS=strJS & "<param name=movie value=" & FileName & ">"
       strJS=strJS & "<param name=quality value=high>"
       strJS=strJS & "<embed src=" & FileName & " quality=high pluginspage=//www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash type=application/x-shockwave-flash>"
     strJS=strJS & "</embed></object>');" & vbcrlf
    case else
       strJS=strJS & "range.text='[upload=" & FileType & "]" & FileName & "[/upload]';" & vbcrlf
     end select
     strJS=strJS & "parent.parent.form1.DefaultPicUrl.value='" & FileName & "';" & vbcrlf
   strJS=strJS & "parent.parent.form1.DefaultPicList.options[parent.parent.form1.DefaultPicList.length] = new Option('" & filename & "','" & filename & "');" & vbcrlf
   strJS=strJS & "parent.parent.form1.DefaultPicList.selectedIndex+=1;" & vbcrlf
   strJS=strJS & "if(parent.parent.form1.UploadFiles.value==''){" & vbcrlf
   strJS=strJS & "parent.parent.form1.UploadFiles.value+='" & filename & "';}" & vbcrlf
   strJS=strJS & "else{" & vbcrlf & "parent.parent.form1.UploadFiles.value+='|'+'" & filename & "';}" & vbcrlf
  end if
  strJS=strJS & "alert('" & msg & "');" & vbcrlf
    strJS=strJS & "history.go(-1);" & vbcrlf
  strJS=strJS & "parent.HtmlEdit.focus();" & vbcrlf      
    strJS=strJS & "</script>"
    response.write strJS
  set file=nothing
 next
 set upload=nothing
end sub
%>

Inc/config.asp

以下是引用片段:
<%
Const MaxPerPage_Default=10        '首頁每頁文章數
Const MaxPerPage_Search=10        '文章搜索頁每頁文章數
Const MaxBigClassNumPerLine=10        '每行顯示文章大類數
Const MaxSmallClassNumPerLine=10        '每行顯示文章小類數
Const ShowSmallClassType_Default="Menu"        '首頁的子欄目顯示樣式
Const ShowSmallClassType_Search="Tree"        '文章搜索頁的子欄目顯示樣式
Const ShowSmallClassType_Article="Top"        '文章內容頁的子欄目顯示樣式
Const ShowSmallClassType_Other="Menu"        '其他頁面的子欄目顯示樣式
Const ShowContentByPage="Yes"        '文章內容是否分頁顯示
Const MaxPerPage_Content=200000        '每頁顯示大約字符數
Const ShowRunTime="Yes"        '是否顯示頁面執行時間
Const EnableArticleCheck="Yes"        '是否啟用文章審核功能
Const EnableUploadFile="Yes"        '是否開放文件上傳
Const EnableLinkReg="Yes"        '是否開放友情鏈接申請
Const PopAnnounce="Yes"        '是否彈出公告窗口
Const HitsOfHot=500        '熱門文章點擊數
Const MailObject="Jmail"        '郵件發送組件
Const MaxFileSize=3000        '上傳文件大小限制
Const SaveUpFilesPath="UploadFiles"        '存放上傳文件的目錄
Const UpFileType="gif|jpg"        '允許的上傳文件類型
Const DelUpFiles="Yes"        '刪除文章時是否同時刪除文章中的上傳文件
%>

include file="Inc/upload.asp

以下是引用片段:
<%
'----------------------------------------------------------------------
'轉發時請保留此聲明信息,這段聲明不并會影響你的速度!
'*******************    無組件上傳類   ********************************
'修改者:梁無懼
'電子郵件:[email protected]
'網站://www.25cn.com
'原作者:稻香老農
'原作者網站://www.5xsoft.com
'聲明:此上傳類是在化境編程界發布的無組件上傳類的基礎上修改的.
'在與化境編程界無組件上傳類相比,速度快了將近50倍,當上傳4M大小的文件時
'服務器只需要10秒就可以處理完,是目前最快的無組件上傳程序,當前版本為0.96
'源代碼公開,免費使用,對于商業用途,請與作者聯系
'文件屬性:例如上傳文件為c:\myfile\doc.txt
'FileName    文件名       字符串    "doc.txt"
'FileSize    文件大小     數值       1210
'FileType    文件類型     字符串    "text/plain"
'FileExt     文件擴展名   字符串    "txt"
'FilePath    文件原路徑   字符串    "c:\myfile"
'使用時注意事項:
'由于Scripting.Dictionary區分大小寫,所以在網頁及ASP頁的項目名都要相同的大小
'寫,如果人習慣用大寫或小寫,為了防止出錯的話,可以把
'sFormName = Mid (sinfo,iFindStart,iFindEnd-iFindStart)
'改為
'(小寫者)sFormName = LCase(Mid (sinfo,iFindStart,iFindEnd-iFindStart))
'(大寫者)sFormName = UCase(Mid (sinfo,iFindStart,iFindEnd-iFindStart))
'**********************************************************************
'----------------------------------------------------------------------
dim oUpFileStream

Class upload_file
 
dim Form,File,Version
 
Private Sub Class_Initialize
   '定義變量
  dim RequestBinDate,sStart,bCrLf,sInfo,iInfoStart,iInfoEnd,tStream,iStart,oFileInfo
  dim iFileSize,sFilePath,sFileType,sFormvalue,sFileName
  dim iFindStart,iFindEnd
  dim iFormStart,iFormEnd,sFormName
   '代碼開始
  Version="無組件上傳類 Version 0.96"
  set Form = Server.CreateObject("Scripting.Dictionary")
  set File = Server.CreateObject("Scripting.Dictionary")
  if Request.TotalBytes < 1 then Exit Sub
  set tStream = Server.CreateObject("adodb.stream")
  set oUpFileStream = Server.CreateObject("adodb.stream")
  oUpFileStream.Type = 1
  oUpFileStream.Mode = 3
  oUpFileStream.Open
  oUpFileStream.Write Request.BinaryRead(Request.TotalBytes)
  oUpFileStream.Position=0
  RequestBinDate = oUpFileStream.Read
  iFormEnd = oUpFileStream.Size
  bCrLf = chrB(13) & chrB(10)
  '取得每個項目之間的分隔符
  sStart = MidB(RequestBinDate,1, InStrB(1,RequestBinDate,bCrLf)-1)
  iStart = LenB (sStart)
  iFormStart = iStart+2
  '分解項目
  Do
    iInfoEnd = InStrB(iFormStart,RequestBinDate,bCrLf & bCrLf)+3
    tStream.Type = 1
    tStream.Mode = 3
    tStream.Open
    oUpFileStream.Position = iFormStart
    oUpFileStream.CopyTo tStream,iInfoEnd-iFormStart
    tStream.Position = 0
    tStream.Type = 2
    tStream.Charset ="gb2312"
    sInfo = tStream.ReadText     
    '取得表單項目名稱
    iFormStart = InStrB(iInfoEnd,RequestBinDate,sStart)-1
    iFindStart = InStr(22,sInfo,"name=""",1)+6
    iFindEnd = InStr(iFindStart,sInfo,"""",1)
    sFormName = Mid (sinfo,iFindStart,iFindEnd-iFindStart)
    '如果是文件
    if InStr (45,sInfo,"filename=""",1) > 0 then
      set oFileInfo= new FileInfo
      '取得文件屬性
      iFindStart = InStr(iFindEnd,sInfo,"filename=""",1)+10
      iFindEnd = InStr(iFindStart,sInfo,"""",1)
      sFileName = Mid (sinfo,iFindStart,iFindEnd-iFindStart)
      oFileInfo.FileName = GetFileName(sFileName)
      oFileInfo.FilePath = GetFilePath(sFileName)
      oFileInfo.FileExt = GetFileExt(sFileName)
      iFindStart = InStr(iFindEnd,sInfo,"Content-Type: ",1)+14
      iFindEnd = InStr(iFindStart,sInfo,vbCr)
      oFileInfo.FileType = Mid (sinfo,iFindStart,iFindEnd-iFindStart)
      oFileInfo.FileStart = iInfoEnd
      oFileInfo.FileSize = iFormStart -iInfoEnd -2
      oFileInfo.FormName = sFormName
      file.add sFormName,oFileInfo
    else
    '如果是表單項目
      tStream.Close
      tStream.Type = 1
      tStream.Mode = 3
      tStream.Open
      oUpFileStream.Position = iInfoEnd
      oUpFileStream.CopyTo tStream,iFormStart-iInfoEnd-2
      tStream.Position = 0
      tStream.Type = 2
      tStream.Charset = "gb2312"
      sFormvalue = tStream.ReadText
      form.Add sFormName,sFormvalue
    end if
    tStream.Close
    iFormStart = iFormStart+iStart+2
    '如果到文件尾了就退出
    loop until (iFormStart+2) = iFormEnd
  RequestBinDate=""
  set tStream = nothing
End Sub

Private Sub Class_Terminate 
  '清除變量及對像
  if not Request.TotalBytes<1 then
    oUpFileStream.Close
    set oUpFileStream =nothing
    end if
  Form.RemoveAll
  File.RemoveAll
  set Form=nothing
  set File=nothing
End Sub
  
 '取得文件路徑
Private function GetFilePath(FullPath)
  If FullPath <> "" Then
    GetFilePath = left(FullPath,InStrRev(FullPath, "\"))
    Else
    GetFilePath = ""
  End If
End function
 
'取得文件名
Private function GetFileName(FullPath)
  If FullPath <> "" Then
    GetFileName = mid(FullPath,InStrRev(FullPath, "\")+1)
    Else
    GetFileName = ""
  End If
End function

'取得擴展名
Private function GetFileExt(FullPath)
  If FullPath <> "" Then
    GetFileExt = mid(FullPath,InStrRev(FullPath, ".")+1)
    Else
    GetFileExt = ""
  End If
End function

End Class

'文件屬性類
Class FileInfo
  dim FormName,FileName,FilePath,FileSize,FileType,FileStart,FileExt
  Private Sub Class_Initialize
    FileName = ""
    FilePath = ""
    FileSize = 0
    FileStart= 0
    FormName = ""
    FileType = ""
    FileExt = ""
  End Sub
 
'保存文件方法
 Public function SaveToFile(FullPath)
    dim oFileStream,ErrorChar,i
    SaveToFile=1
    if trim(fullpath)="" or right(fullpath,1)="/" then exit function
    set oFileStream=CreateObject("Adodb.Stream")
    oFileStream.Type=1
    oFileStream.Mode=3
    oFileStream.Open
    oUpFileStream.position=FileStart
    oUpFileStream.copyto oFileStream,FileSize
    oFileStream.SaveToFile FullPath,2
    oFileStream.Close
    set oFileStream=nothing
    SaveToFile=0
  end function
End Class
%>

漏洞利用方法

以下是引用片段:
<form action=//www.ymbxx.icu/upfile.asp method=post name=form1 enctype=multipart/form-data>
<form name="form" method="post" action="Adm_UpFile.asp" enctype="multipart/form-data">
  <td valign="middle">
    <input type="file" name="file1" size="40"><br /><br />
  &nbsp;</a> </td>
      <td valign="middle">
    <input type="file" name="file2" size="40">
        &nbsp;<input type="submit" name="Submit" value="上傳"></a>
      </td>
 </form>
<form>

本來要詳解一下漏洞產生的原因,結果沒有時間,我直接給出修補后的代碼吧,有興趣的人加我QQ,沒有興趣的人直接拿去用吧。

upfile.asp


<!--#include file="Inc/config.asp"-->
<!--#include file="Inc/upload.asp"-->
<%
'孤行一鬼修改上傳漏洞 西寧威勢電子信息服務有限公司提供技術支持 黑龙江11选5预测网
Server.ScriptTimeOut = 1800
const upload_type=0   '上傳方法:0=無懼無組件上傳類,1=FSO上傳 2=lyfupload,3=aspupload,4=chinaaspupload

dim upload,file,formName,SavePath,filename,fileExt
dim upNum
dim EnableUpload
dim Forumupload
dim ranNum
dim uploadfiletype
dim msg,founderr
msg=""
founderr=false
EnableUpload=false
SavePath = SaveUpFilesPath   '存放上傳文件的目錄
if right(SavePath,1)<>"/" then SavePath=SavePath&"/" '在目錄后加(/)
%>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
</head>
<body>
<%
if EnableUploadFile="No" then
 response.write "系統未開放文件上傳功能"
else
 'if session("name")="" then
 ' response.Write("請登錄后再使用本功能!")
 'else
  select case upload_type
   case 0
    call upload_0()  '使用化境無組件上傳類
   case else
    'response.write "本系統未開放插件功能"
    'response.end
  end select
 'end if
end if
%>
</body>
</html>
<%
sub upload_0()    '使用化境無組件上傳類
 set upload=new upload_file    '建立上傳對象
 for each formName in upload.file '列出所有上傳了的文件
  set file=upload.file(formName)  '生成一個文件對象
  if file.filesize<100 then
    msg="請先選擇你要上傳的文件!"
   founderr=true
  end if
  if file.filesize>(MaxFileSize*1024) then
    msg="文件大小超過了限制,最大只能上傳" & CStr(MaxFileSize) & "K的文件!"
   founderr=true
  end if

  fileExt=lcase(file.FileExt)
  Forumupload=split(UpFileType,"|")

  for i=0 to ubound(Forumupload)
   if fileEXT=trim(Forumupload(i)) then
    EnableUpload=true
   else
    EnableUpload=false
    'exit for
   end if
  next

  if fileEXT="asp" or fileEXT="asa" or fileEXT="aspx" then
   EnableUpload=false
  end if
  if EnableUpload=false then
   msg="這種文件類型不允許上傳!\n\n孤行一鬼修補此上傳漏洞(黑龙江11选5预测网),只允許上傳這幾種文件類型:" & UpFileType
   founderr=true
  end if
  
  strJS="<SCRIPT language=javascript>" & vbcrlf
  if founderr<>true then
   randomize
   ranNum=int(900*rnd)+100
   filename=SavePath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt
   file.SaveToFile Server.mappath(FileName)   '保存文件

   msg="上傳文件成功!"
   
   strJS=strJS & "parent.HtmlEdit.focus();" & vbcrlf      
   strJS=strJS & "var range = parent.HtmlEdit.document.selection.createRange();" & vbcrlf
   FileType=right(fileExt,3)
   select case FileType
       case "jpg","gif","png","bmp"
     strJS=strJS & "range.pasteHTML('<img src=" & filename & ">');" & vbcrlf
    case "swf"
     strJS=strJS & "range.pasteHTML('<object classid=clsid:D27CDB6E-AE6D-11cf-96B8-444553540000 codebase=//download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=5,0,0,0>"
       strJS=strJS & "<param name=movie value=" & FileName & ">"
       strJS=strJS & "<param name=quality value=high>"
       strJS=strJS & "<embed src=" & FileName & " quality=high pluginspage=//www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash type=application/x-shockwave-flash>"
     strJS=strJS & "</embed></object>');" & vbcrlf
    case else
       strJS=strJS & "range.text='[upload=" & FileType & "]" & FileName & "[/upload]';" & vbcrlf
     end select
     strJS=strJS & "parent.parent.form1.DefaultPicUrl.value='" & FileName & "';" & vbcrlf
   strJS=strJS & "parent.parent.form1.DefaultPicList.options[parent.parent.form1.DefaultPicList.length] = new Option('" & filename & "','" & filename & "');" & vbcrlf
   strJS=strJS & "parent.parent.form1.DefaultPicList.selectedIndex+=1;" & vbcrlf
   strJS=strJS & "if(parent.parent.form1.UploadFiles.value==''){" & vbcrlf
   strJS=strJS & "parent.parent.form1.UploadFiles.value+='" & filename & "';}" & vbcrlf
   strJS=strJS & "else{" & vbcrlf & "parent.parent.form1.UploadFiles.value+='|'+'" & filename & "';}" & vbcrlf
  end if
  strJS=strJS & "alert('" & msg & "');" & vbcrlf
    strJS=strJS & "history.go(-1);" & vbcrlf
  strJS=strJS & "parent.HtmlEdit.focus();" & vbcrlf      
    strJS=strJS & "</script>"
    response.write strJS
  set file=nothing
 next
 set upload=nothing
end sub
%>


 

后記:以下這段是我看到網友“痛斥裝B”的評論后添加的,呵呵,由于本人忒懶 ,上面的文章中沒有分析漏洞產生原因,直接給出了漏洞修補結果,結果讓牛人們罵我,并“痛斥我裝B”,本著向大牛們學習的態度,我再嘮叨幾句吧

        上面的這段代碼是網友發給我的,好像是某網站管理系統中的上傳程序的頁面,用的人挺多的,回下面評論中的“痛斥裝B”兄弟的話,我粗略看完此源代碼,漏洞在于邏輯漏洞,只要第一輪FOR循環中條件為真就跳出循環,讓后面的文件格式不做檢查,所以才讓黑客有機可乘,所以我們可以同時提交多個文件進行上傳,讓第一個文件合法,促使條件為真,而后面的文件換成我們的木馬,我們再看看作者對上傳文件后輟名的過濾,程序上傳允許的后輟名都寫在CONFIG。ASP中的這一行

Const UpFileType="gif|jpg"        '允許的上傳文件類型


    程序作者用白名單對文件后輟名進行過濾,這也是一種比較保險的方法,盡管作者這樣判斷了,但似乎還對自己的代碼很不放心,所以在后面代碼中又寫了一堆代碼判斷用戶提交的是不是ASP之類的后輟名文件,如果是的話就停止上傳,其實這段代碼完全是沒用的垃圾代碼,有了第一個白名單過濾就足夠了,其實作者后面寫的一大堆的后輟名過濾可以很EASY的躲過,比如上傳個SHELL.ASP+空格的后輟,這樣很容易躺過了后輟名的判斷,輕易上傳木馬。

    程序最后,在保存文件的時候,文件名所有的變量都是系統自動生成的,filename=SavePath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt
其中SavePath為寫在頁面中的變量,不可能讓用戶提交來欺騙,其它也是取自系統函數和隨機數,更不可能欺騙,你要再說大漏洞躺在那邊的話,只能是 fileExt 來欺騙,這個是上傳類自動獲取的,具體上傳類的取文件后輟名的代碼我沒有檢查過,因為用的人很多,我相信另有牛人檢查過吧,我也懶得去檢查,難道你說的是這里有漏洞?如果“痛斥裝B”兄弟再次路過,懇請加我QQ,指點一二,我感激不??!


上一篇:新Or 1=1的腳本注入技術詳解
下一篇:[原創]ASP后門代碼
評論列表
正在加載評論……
  
評論   
呢  稱:
驗證碼: 若看不清請點擊更換!
內  容:
 
 
  在線洽談咨詢:
點擊這里,在線洽談   點擊這里,在線洽談   點擊這里,在線洽談
與我交談  與我交談 與我交談
乘車路線    匯款方式   加盟合作  人才招聘  
公司地址:青海省西寧市西關大街73號(三二四部隊招行所四樓)     青ICP備13000578號-1 公安機關備案號:63010402000123    
QQ:147399120    mail:[email protected]    電話: 13897410341    郵編:810000
© Copyright( 2008-2009) www.ymbxx.icu All Rights Reserved    版權所有:西寧威勢電子信息服務有限公司 未經書面制授權,請勿隨意轉載!
業務:青海網站制做、青海網站建設、青海網頁設計、西寧網站制做、西寧網站建設、青海域名注冊、青海網絡推廣、青海網站推廣、青??占渥庥?/a>、黑龙江11选5预测网、黑龙江11选5预测网、網絡安全