推荐:BBSXP最新漏洞简单分析以及利用

www.hx99.org 阅读: 时间:2007-07-09 整理:华西黑盟
------------------------------------------------------------------

 

无意间发现一个BBSXP的0day，经过我自己测试，有80%左右的成功率，现在已经隔了1个月了，你们能不能利用我不保证。不过估计还有很多没有打上补丁的。以下介绍仅为学习交流使用，请勿用于非法用途。

这个存在于bbsxp的最新版本（官方的不是最新版）估计比上次某人发的bbsxp注入更加严重。很简单，我这个是上传，而且是杀access和sql版，直接就可以拿到webshell，至于拿到webshell后……

首先大家看一段代码，这个是我从网上下的一套bbsxp最新版，我先简单分析以下三段代码：

ifFileExt="asa"orFileExt="asp"orFileExt="cdx"orFileExt="cer"thenerror2("对不起，管理员设定本论坛不允许上传"&FileExt&"格式的文件")

ifSitesettings("WatermarkOption")="Persits.Jpeg"andFileMIME="image/pjpeg"andUpClass<>"Face"then
SetJpeg=Server.CreateObject("Persits.Jpeg")
Jpeg.OpenServer.MapPath(""&SaveFile&"")

'判断用户文件中的危险操作
sStr="getfolder|createfolder|deletefolder|createdirectory|deletedirectory|saveasencode|function|UnEncode|execute|重命名|修改|属性|新建|复制|器|下载"
sNoString=split(sStr,"|")
fori=0toubound(sNoString)
ifinstr(sTextAll,sNoString(i))then
setfiledel=server.CreateObject("Scripting.FileSystemObject")
filedel.deletefileserver.mappath(""&SaveFile&"")
response.write"你的ip和时间已被纪录，由于你曾多次使用该方法对系统进行非法攻击，我们将会把你的向海南省公安部及海口网警报告!"
response.write"<br>"
response.write"时间:"&date()&""&time()&""
response.write"<br>"
response.write"IP:"&request.servervariables("remote_addr")&""
setMyFiletemp=server.CreateObject("Scripting.FileSystemObject")
setwfile=myfiletemp.opentextfile(server.mappath("ypsql.txt"),8)
wfile.writelinedate()&""&time()&""&request.servervariables("remote_addr")
Response.end
endif

其中：文件保存类型是通过FileMIME判断FileMIME="image/pjpeg"，也就是说上传类型要是图片，然后第一段代码，ifFileExt="asa"orFileExt="asp"orFileExt="cdx"orFileExt="cer"thenerror2("对不起，管理员设定本论坛不允许上传"&FileExt&"格式的文件")的意思是：出错时候检查后缀.如果后缀是asa或者asp或者cdx或者cer的时候他就会提示错误。然后FileExt=文件后缀第三段代码的意思是：如果文件中有getfolder，createfolder等等特征的话。他就提示错误.错误类型在下边自己看了。

Bssxp是通过这3段代码来过滤上传类型的.可这却造成了一个逻辑性的.聪明的读者可能已经发现了.他过滤的后缀只有asa、asp、cdx、cer如果我们传的文件的后缀不是这4个呢？嘿嘿,不是这4个也不能传.为什么？因为后边还有个FileMIME="image/pjpeg"。好,我们让文件是image/pjpeg。具体怎么实现呢？很简单。在我们的马马头部加上gif89a。也就是文件头欺骗。我们测试下一下看看：

【免费加入会员】【我要投稿】【关闭本页】