ASP代码审计学习笔记 -3.上传漏洞

简介: 1、ASP上传过程抓包分析: POST /4.asp HTTP/1.1 Host: 192.168.1.102 User-Agent: Mozilla/5.0 (Windows NT 10.

 

1、ASP上传过程抓包分析:

POST /4.asp HTTP/1.1
Host: 192.168.1.102
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://192.168.1.102/upfile.htm
Cookie: BMFNWNPGYIUDQDSPBJIM=LPJCJXPLUPUEWFQHYUSRFZDREVMVJBPDVCLCWBZM
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=---------------------------17271789418104
Content-Length: 630

-----------------------------17271789418104
Content-Disposition: form-data; name="act"

upload
-----------------------------17271789418104
Content-Disposition: form-data; name="upcount"

1
-----------------------------17271789418104
Content-Disposition: form-data; name="filepath"

/upload
-----------------------------17271789418104
Content-Disposition: form-data; name="file1"; filename="1.jpg"
Content-Type: image/jpeg

111111111111111111111111111111111111
-----------------------------17271789418104
Content-Disposition: form-data; name="Submit"

¡¤ Ìá½» ¡¤
-----------------------------17271789418104--

 

2、利用方法

 

1.\0路径截断上传漏洞 %00 filepath截断上传   /upload/a.asp  

修复方法:锁定上传路径   if filepath="upload" then filepath="img" end if 

2.filetype上传漏洞,修改filetype绕过上传    Content-Type: image/jpeg

3.过滤不全aspasacercdxhtr

防御办法:使用白名单如jpggifrar

 

4. IIS6的目录解析漏洞如/a.asp/a.jpg下面的jpg会当asp执行

防御办法:不允许客户自建目录或者目录名不能包含“.”字符

 

5. IIS6的文件名解析漏洞如a.asp;a.jpg名字包含分号的jpg会当asp执行

防御办法:文件名不能包含“;”字符

 

6.替换漏洞

7.二次上传漏洞主要是利用逻辑漏洞,比如无惧无组件上传代码:

fileExt=lcase(Mid(ofile.filename,InStrRev(ofile.filename,".")+1))   

arrUpFileType=split(UpFileType,"|")'获得允许上传的所有文件扩展名   

for i=0 to ubound(arrUpFileType)'判断上传的文件扩展名是否在允许的范围内   

if fileEXT=trim(arrUpFileType(i)) then   

EnableUpload=true   

exit for

end if   

双文件上传,状态为true,可以上传

 

8.小数点或空格被忽视,这个也是利用了win系统特性了,比如a.asp.a.asp空格、a.php.

绕过黑名单的过滤

防御办法:使用自己的扩展名来代替

 

9.超长文件名截断文件后缀,各系统版本的超长文件名长度可能各不相同,最常见的是应用在本地包含漏洞方面,由于php新版过滤了%00,所以用 a.php?files=../../../../../../../../../etc/passwd…………………………………(N个点).html,推荐用“.”和“/”或空格来试。在win:

echo aaaa>a.asp若干个空格.gif

dir a.asp

2010-03-15 17:41 2,852 a.asp

防御办法:对文件名长度进行限制

 

 

10.只校验了文件头和文件完整性

有的上传程序校验文件头,并只允许上传图片文件类型且验证图片文件完整性(仅伪造文件头还是不行),但没有验证文件后缀,也没有强制更改上传文件的后缀。我们可以新建一个几kb大小以内的jpg图片文件(颜色填充),然后用ue以十六进制打开文件,在文件内容末尾加些空格后再加上一句话木马< ?fputs(fopen("c.php","w"),")?>存为 aaa.php上传。如果有验证文件后缀,也可以结合以上方法绕过文件的后缀验证。 

防御办法:对文件名进行判断即可

 

11. SSI文件上传漏洞

上传内容为 <!--#includ file="conn.asp"--> shtml 文件

conn.asp 就一览无遗 , 直接请求这个 shtm 文件 . 数据库路径也就得到了

其作用是将 "conn.asp" 内容拷贝到当前的页面中 , 解析 :<!--#includ file="conn.asp"--> 就是一条 SSI 指令 . 当访问者来浏览时 , 会看到其它 HTML 文档一样显示 conn.asp 其中的内容 .

http://baike.baidu.com/view/31870.htm

防御办法:使用白名单如jpggifrar

 

3、如何上传才能安全?

 

formPath=upload.form("filepath")
 ''在目录后加(/)
 select case formPath
 case "img"
 formPath="img"
 case "file"
 formPath="file"
 case "media"
 formPath="media"
 case Else
   HtmEnd "非法路径!"
 end select
 formPath=formPath&"/"
 


set file=upload.file(formName)  ''生成一个文件对象
 if file.FileSize>0 then         ''如果 FileSize > 0 说明有文件数据
 fileext=lcase(right(file.FileName,4))
  '检查文件扩展名是否合法
  select case fileext
    case ".jpg"
    fileext=".jpg"
    case ".gif"
    fileext=".gif"
    case ".bmp"
    fileext=".bmp"
    case ".rar"
    fileext=".rar"
    case ".mp3"
    fileext=".mp3"
    case ".wma"
    fileext=".wma"
    case ".wmv"
    fileext=".wmv"
    case Else
    HtmEnd "非法文件扩展名!"
  end select
  randomize
  ranNum=int(900*rnd)+100
  ranNum=year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum
  file.SaveAs Server.mappath(formPath&ranNum&fileext)   ''保存文件
  response.write file.FilePath&file.FileName&" ("&file.FileSize&") => "&formPath&ranNum&fileext&" 成功!<br>"
  file.FileName=ranNum&fileext
  response.write file.FileName

  iCount=iCount+1
 end if
 set file=nothing

  

目录
相关文章
|
SQL 移动开发 供应链
网站代码审计漏洞查找技术是如何炼成的?
常常许多人问过那样一个难题,网络黑客是确实那么强大吗?就现阶段来讲,在黑客游戏或影视剧中,网络黑客所展现的工作能力与实际是相差无异的(黑客帝国此类种类以外)。唯一的差别是影视剧中的主人公可以瞬间控制供电系统,导致大城市电力工程偏瘫。走在路上任意监听所有人。
322 0
网站代码审计漏洞查找技术是如何炼成的?
|
安全 PHP .NET
通过代码审计找出网站中的XSS漏洞实战(三)
一、背景 笔者此前录制了一套XSS的视频教程,在漏洞案例一节中讲解手工挖掘、工具挖掘、代码审计三部分内容,准备将内容用文章的形式再次写一此,前两篇已经写完,内容有一些关联性,其中手工XSS挖掘篇地址为快速找出网站中可能存在的XSS漏洞实践(一)https://segmentfault.com/a/1190000016095198 本文主要记录通过代码审计的方式进行XSS漏洞挖掘,分为了找出关键位置,正向审计,反向审计三个部分,审计的系统为permeate渗透测试系统,测试系统的搭建可以参考笔者的第一篇文章。
1653 0
|
XML JSON 前端开发
ASP.NET Core 2 学习笔记(九)模型绑定
原文:ASP.NET Core 2 学习笔记(九)模型绑定 ASP.NET Core MVC的Model Binding会将HTTP Request数据,以映射的方式对应到参数中。基本上跟ASP.NET MVC差不多,但能Binding的来源更多了一些。
1285 0
|
安全 .NET 开发框架
ASP代码审计学习笔记 -5.文件下载漏洞
文件下载漏洞 漏洞代码: 0 then Reaponse.status="404" else Response.ContentType="application/octet-stream" Response.
993 0
|
安全 .NET 开发框架
ASP代码审计学习笔记 -4.命令执行漏洞
  命令执行漏洞:   保存为cmd.asp,提交链接: http://localhost/cmd.asp?ip=127.0.0.1 即可执行命令  利用方式: http://localhost/cmd.asp?ip=127.0.0.1|set   漏洞修复方式一: 把输入的值当作参数来执行,避免命令执行漏洞,可能会占用系统资源,不够优化。
1354 0
|
SQL .NET
ASP代码审计学习笔记-1.SQL注入
ASP注入漏洞   一、SQL注入的原因 按照参数形式:数字型/字符型/搜索型 1、数字型sql查询 sql注入原因: ID=49 这类注入的参数是数字型,SQL语句原貌大致如下: id=request.
1023 0
|
安全 .NET 开发框架
ASP代码审计学习笔记 -2.XSS跨站脚本
XSS漏洞: 漏洞代码: 漏洞利用: 漏洞修复: Server.HTMLEncode(string):HTMLEncode 方法对一段指定的字符串应用 HTML 编码。修复代码如下:   
841 0
|
.NET 索引 开发框架
ASP.NET中上传下载文件
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/chinahuyong/article/details/2938843   ASP.
785 0
|
3月前
|
安全 小程序 PHP
PHP代码审计(五)PHP代码审计方法与步骤
(1):获取到网站源码(这就是废话……) (2):将网站部署到你自己的环境中,能运行。 这里特殊说明一下我的习惯,我本地的环境与线上的环境基本上保持一致,这样在本地审计及线上部署的时候能发现更多的问题。不建议说是随便搭个环境能跑起来就行,这样不是很严谨。 (3):拿到源码之后,浏览大概的项目结构。
52 0
|
3月前
|
Shell PHP Windows
PHP代码审计(四)PHP文件操作函数(2)
改变文件所有者。如果成功则返回 TRUE,如果失败则返回 FALSE。 语法:chown(file,owner)
31 0

相关产品

  • 云迁移中心