青海网站建设、网络推广最好的公司--您身边的网站建设专家,马上拿起电话,联系我们:0971-8235355   
青海西宁网站建设、网站制作公司-西宁威势电子信息服务有限公司 首页 |  公司简介 |  网站建设 |  网络推广 |  空间租用 |  域名注册 |  企业邮局 |  网络安全 |  网站编程 |  客服中心 |  联系我们 |  人才招聘
 
西宁威势最新网站制做案例展示
Lastest Project
 
西宁网站建设  
当前位置为:首页 >> 脚本安全 >> 正文  
[原创]对一个常见经典的上传程序漏洞的修补过程

文章来源: 西宁威势电子信息服务有限公司     发布时间:2008-12-30    浏览次数:10921    tags:ASP上传漏洞 修补

    本来以为经过国内这些大牛的血洗,上传漏洞应该变成了传说,但是我还是能经常遇到好多人向我请教,找我帮忙修补上传漏洞,以前JESSICA发我一个上传程序,找我帮忙修补,后来又有N多人也拿着同样的程序来找我求助,而这些程序呢,几乎写法是一模一样的,可能是有些程序员对上传程序不太熟悉,直接把别人的程序拿过来用了吧,所以别人程序中的漏洞原样给照搬过来了。下面我们来看看这段经典的漏洞代码是怎么样写的,又是怎么样引起漏洞的。

upfile.asp

<!--#include file="Inc/config.asp"-->
<!--#include file="Inc/upload.asp"-->
<%
Server.ScriptTimeOut = 1800
const upload_type=0   '上传方法:0=无惧无组件上传类,1=FSO上传 2=lyfupload,3=aspupload,4=chinaaspupload

dim upload,file,formName,SavePath,filename,fileExt
dim upNum
dim EnableUpload
dim Forumupload
dim ranNum
dim uploadfiletype
dim msg,founderr
msg=""
founderr=false
EnableUpload=false
SavePath = SaveUpFilesPath   '存放上传文件的目录
if right(SavePath,1)<>"/" then SavePath=SavePath&"/" '在目录后加(/)
%>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
</head>
<body>
<%
if EnableUploadFile="No" then
 response.write "系统未开放文件上传功能"
else
 'if session("name")="" then
 ' response.Write("请登录后再使用本功能!")
 'else
  select case upload_type
   case 0
    call upload_0()  '使用化境无组件上传类
   case else
    'response.write "本系统未开放插件功能"
    'response.end
  end select
 'end if
end if
%>
</body>
</html>
<%
sub upload_0()    '使用化境无组件上传类
 set upload=new upload_file    '建立上传对象
 for each formName in upload.file '列出所有上传了的文件
  set file=upload.file(formName)  '生成一个文件对象
  if file.filesize<100 then
    msg="请先选择你要上传的文件!"
   founderr=true
  end if
  if file.filesize>(MaxFileSize*1024) then
    msg="文件大小超过了限制,最大只能上传" & CStr(MaxFileSize) & "K的文件!"
   founderr=true
  end if

  fileExt=lcase(file.FileExt)
  Forumupload=split(UpFileType,"|")
  for i=0 to ubound(Forumupload)
   if fileEXT=trim(Forumupload(i)) then
    EnableUpload=true
    exit for
   end if
  next
  if fileEXT="asp" or fileEXT="asa" or fileEXT="aspx" then
   EnableUpload=false
  end if
  if EnableUpload=false then
   msg="这种文件类型不允许上传!\n\n只允许上传这几种文件类型:" & UpFileType
   founderr=true
  end if
  
  strJS="<SCRIPT language=javascript>" & vbcrlf
  if founderr<>true then
   randomize
   ranNum=int(900*rnd)+100
   filename=SavePath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt
   file.SaveToFile Server.mappath(FileName)   '保存文件

   msg="上传文件成功!"
   
   strJS=strJS & "parent.HtmlEdit.focus();" & vbcrlf      
   strJS=strJS & "var range = parent.HtmlEdit.document.selection.createRange();" & vbcrlf
   FileType=right(fileExt,3)
   select case FileType
       case "jpg","gif","png","bmp"
     strJS=strJS & "range.pasteHTML('<img src=" & filename & ">');" & vbcrlf
    case "swf"
     strJS=strJS & "range.pasteHTML('<object classid=clsid:D27CDB6E-AE6D-11cf-96B8-444553540000 codebase=http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=5,0,0,0>"
       strJS=strJS & "<param name=movie value=" & FileName & ">"
       strJS=strJS & "<param name=quality value=high>"
       strJS=strJS & "<embed src=" & FileName & " quality=high pluginspage=http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash type=application/x-shockwave-flash>"
     strJS=strJS & "</embed></object>');" & vbcrlf
    case else
       strJS=strJS & "range.text='[upload=" & FileType & "]" & FileName & "[/upload]';" & vbcrlf
     end select
     strJS=strJS & "parent.parent.form1.DefaultPicUrl.value='" & FileName & "';" & vbcrlf
   strJS=strJS & "parent.parent.form1.DefaultPicList.options[parent.parent.form1.DefaultPicList.length] = new Option('" & filename & "','" & filename & "');" & vbcrlf
   strJS=strJS & "parent.parent.form1.DefaultPicList.selectedIndex+=1;" & vbcrlf
   strJS=strJS & "if(parent.parent.form1.UploadFiles.value==''){" & vbcrlf
   strJS=strJS & "parent.parent.form1.UploadFiles.value+='" & filename & "';}" & vbcrlf
   strJS=strJS & "else{" & vbcrlf & "parent.parent.form1.UploadFiles.value+='|'+'" & filename & "';}" & vbcrlf
  end if
  strJS=strJS & "alert('" & msg & "');" & vbcrlf
    strJS=strJS & "history.go(-1);" & vbcrlf
  strJS=strJS & "parent.HtmlEdit.focus();" & vbcrlf      
    strJS=strJS & "</script>"
    response.write strJS
  set file=nothing
 next
 set upload=nothing
end sub
%>

Inc/config.asp

以下是引用片段:
<%
Const MaxPerPage_Default=10        '首页每页文章数
Const MaxPerPage_Search=10        '文章搜索页每页文章数
Const MaxBigClassNumPerLine=10        '每行显示文章大类数
Const MaxSmallClassNumPerLine=10        '每行显示文章小类数
Const ShowSmallClassType_Default="Menu"        '首页的子栏目显示样式
Const ShowSmallClassType_Search="Tree"        '文章搜索页的子栏目显示样式
Const ShowSmallClassType_Article="Top"        '文章内容页的子栏目显示样式
Const ShowSmallClassType_Other="Menu"        '其他页面的子栏目显示样式
Const ShowContentByPage="Yes"        '文章内容是否分页显示
Const MaxPerPage_Content=200000        '每页显示大约字符数
Const ShowRunTime="Yes"        '是否显示页面执行时间
Const EnableArticleCheck="Yes"        '是否启用文章审核功能
Const EnableUploadFile="Yes"        '是否开放文件上传
Const EnableLinkReg="Yes"        '是否开放友情链接申请
Const PopAnnounce="Yes"        '是否弹出公告窗口
Const HitsOfHot=500        '热门文章点击数
Const MailObject="Jmail"        '邮件发送组件
Const MaxFileSize=3000        '上传文件大小限制
Const SaveUpFilesPath="UploadFiles"        '存放上传文件的目录
Const UpFileType="gif|jpg"        '允许的上传文件类型
Const DelUpFiles="Yes"        '删除文章时是否同时删除文章中的上传文件
%>

include file="Inc/upload.asp

以下是引用片段:
<%
'----------------------------------------------------------------------
'转发时请保留此声明信息,这段声明不并会影响你的速度!
'*******************    无组件上传类   ********************************
'修改者:梁无惧
'电子邮件:yjlrb@21cn.com
'网站:http://www.25cn.com
'原作者:稻香老农
'原作者网站:http://www.5xsoft.com
'声明:此上传类是在化境编程界发布的无组件上传类的基础上修改的.
'在与化境编程界无组件上传类相比,速度快了将近50倍,当上传4M大小的文件时
'服务器只需要10秒就可以处理完,是目前最快的无组件上传程序,当前版本为0.96
'源代码公开,免费使用,对于商业用途,请与作者联系
'文件属性:例如上传文件为c:\myfile\doc.txt
'FileName    文件名       字符串    "doc.txt"
'FileSize    文件大小     数值       1210
'FileType    文件类型     字符串    "text/plain"
'FileExt     文件扩展名   字符串    "txt"
'FilePath    文件原路径   字符串    "c:\myfile"
'使用时注意事项:
'由于Scripting.Dictionary区分大小写,所以在网页及ASP页的项目名都要相同的大小
'写,如果人习惯用大写或小写,为了防止出错的话,可以把
'sFormName = Mid (sinfo,iFindStart,iFindEnd-iFindStart)
'改为
'(小写者)sFormName = LCase(Mid (sinfo,iFindStart,iFindEnd-iFindStart))
'(大写者)sFormName = UCase(Mid (sinfo,iFindStart,iFindEnd-iFindStart))
'**********************************************************************
'----------------------------------------------------------------------
dim oUpFileStream

Class upload_file
 
dim Form,File,Version
 
Private Sub Class_Initialize
   '定义变量
  dim RequestBinDate,sStart,bCrLf,sInfo,iInfoStart,iInfoEnd,tStream,iStart,oFileInfo
  dim iFileSize,sFilePath,sFileType,sFormvalue,sFileName
  dim iFindStart,iFindEnd
  dim iFormStart,iFormEnd,sFormName
   '代码开始
  Version="无组件上传类 Version 0.96"
  set Form = Server.CreateObject("Scripting.Dictionary")
  set File = Server.CreateObject("Scripting.Dictionary")
  if Request.TotalBytes < 1 then Exit Sub
  set tStream = Server.CreateObject("adodb.stream")
  set oUpFileStream = Server.CreateObject("adodb.stream")
  oUpFileStream.Type = 1
  oUpFileStream.Mode = 3
  oUpFileStream.Open
  oUpFileStream.Write Request.BinaryRead(Request.TotalBytes)
  oUpFileStream.Position=0
  RequestBinDate = oUpFileStream.Read
  iFormEnd = oUpFileStream.Size
  bCrLf = chrB(13) & chrB(10)
  '取得每个项目之间的分隔符
  sStart = MidB(RequestBinDate,1, InStrB(1,RequestBinDate,bCrLf)-1)
  iStart = LenB (sStart)
  iFormStart = iStart+2
  '分解项目
  Do
    iInfoEnd = InStrB(iFormStart,RequestBinDate,bCrLf & bCrLf)+3
    tStream.Type = 1
    tStream.Mode = 3
    tStream.Open
    oUpFileStream.Position = iFormStart
    oUpFileStream.CopyTo tStream,iInfoEnd-iFormStart
    tStream.Position = 0
    tStream.Type = 2
    tStream.Charset ="gb2312"
    sInfo = tStream.ReadText     
    '取得表单项目名称
    iFormStart = InStrB(iInfoEnd,RequestBinDate,sStart)-1
    iFindStart = InStr(22,sInfo,"name=""",1)+6
    iFindEnd = InStr(iFindStart,sInfo,"""",1)
    sFormName = Mid (sinfo,iFindStart,iFindEnd-iFindStart)
    '如果是文件
    if InStr (45,sInfo,"filename=""",1) > 0 then
      set oFileInfo= new FileInfo
      '取得文件属性
      iFindStart = InStr(iFindEnd,sInfo,"filename=""",1)+10
      iFindEnd = InStr(iFindStart,sInfo,"""",1)
      sFileName = Mid (sinfo,iFindStart,iFindEnd-iFindStart)
      oFileInfo.FileName = GetFileName(sFileName)
      oFileInfo.FilePath = GetFilePath(sFileName)
      oFileInfo.FileExt = GetFileExt(sFileName)
      iFindStart = InStr(iFindEnd,sInfo,"Content-Type: ",1)+14
      iFindEnd = InStr(iFindStart,sInfo,vbCr)
      oFileInfo.FileType = Mid (sinfo,iFindStart,iFindEnd-iFindStart)
      oFileInfo.FileStart = iInfoEnd
      oFileInfo.FileSize = iFormStart -iInfoEnd -2
      oFileInfo.FormName = sFormName
      file.add sFormName,oFileInfo
    else
    '如果是表单项目
      tStream.Close
      tStream.Type = 1
      tStream.Mode = 3
      tStream.Open
      oUpFileStream.Position = iInfoEnd
      oUpFileStream.CopyTo tStream,iFormStart-iInfoEnd-2
      tStream.Position = 0
      tStream.Type = 2
      tStream.Charset = "gb2312"
      sFormvalue = tStream.ReadText
      form.Add sFormName,sFormvalue
    end if
    tStream.Close
    iFormStart = iFormStart+iStart+2
    '如果到文件尾了就退出
    loop until (iFormStart+2) = iFormEnd
  RequestBinDate=""
  set tStream = nothing
End Sub

Private Sub Class_Terminate 
  '清除变量及对像
  if not Request.TotalBytes<1 then
    oUpFileStream.Close
    set oUpFileStream =nothing
    end if
  Form.RemoveAll
  File.RemoveAll
  set Form=nothing
  set File=nothing
End Sub
  
 '取得文件路径
Private function GetFilePath(FullPath)
  If FullPath <> "" Then
    GetFilePath = left(FullPath,InStrRev(FullPath, "\"))
    Else
    GetFilePath = ""
  End If
End function
 
'取得文件名
Private function GetFileName(FullPath)
  If FullPath <> "" Then
    GetFileName = mid(FullPath,InStrRev(FullPath, "\")+1)
    Else
    GetFileName = ""
  End If
End function

'取得扩展名
Private function GetFileExt(FullPath)
  If FullPath <> "" Then
    GetFileExt = mid(FullPath,InStrRev(FullPath, ".")+1)
    Else
    GetFileExt = ""
  End If
End function

End Class

'文件属性类
Class FileInfo
  dim FormName,FileName,FilePath,FileSize,FileType,FileStart,FileExt
  Private Sub Class_Initialize
    FileName = ""
    FilePath = ""
    FileSize = 0
    FileStart= 0
    FormName = ""
    FileType = ""
    FileExt = ""
  End Sub
 
'保存文件方法
 Public function SaveToFile(FullPath)
    dim oFileStream,ErrorChar,i
    SaveToFile=1
    if trim(fullpath)="" or right(fullpath,1)="/" then exit function
    set oFileStream=CreateObject("Adodb.Stream")
    oFileStream.Type=1
    oFileStream.Mode=3
    oFileStream.Open
    oUpFileStream.position=FileStart
    oUpFileStream.copyto oFileStream,FileSize
    oFileStream.SaveToFile FullPath,2
    oFileStream.Close
    set oFileStream=nothing
    SaveToFile=0
  end function
End Class
%>

漏洞利用方法

以下是引用片段:
<form action=http://www.qhwins.com/upfile.asp method=post name=form1 enctype=multipart/form-data>
<form name="form" method="post" action="Adm_UpFile.asp" enctype="multipart/form-data">
  <td valign="middle">
    <input type="file" name="file1" size="40"><br /><br />
  &nbsp;</a> </td>
      <td valign="middle">
    <input type="file" name="file2" size="40">
        &nbsp;<input type="submit" name="Submit" value="上传"></a>
      </td>
 </form>
<form>

本来要详解一下漏洞产生的原因,结果没有时间,我直接给出修补后的代码吧,有兴趣的人加我QQ,没有兴趣的人直接拿去用吧。

upfile.asp


<!--#include file="Inc/config.asp"-->
<!--#include file="Inc/upload.asp"-->
<%
'孤行一鬼修改上传漏洞 西宁威势电子信息服务有限公司提供技术支持 http://www.qhwins.com
Server.ScriptTimeOut = 1800
const upload_type=0   '上传方法:0=无惧无组件上传类,1=FSO上传 2=lyfupload,3=aspupload,4=chinaaspupload

dim upload,file,formName,SavePath,filename,fileExt
dim upNum
dim EnableUpload
dim Forumupload
dim ranNum
dim uploadfiletype
dim msg,founderr
msg=""
founderr=false
EnableUpload=false
SavePath = SaveUpFilesPath   '存放上传文件的目录
if right(SavePath,1)<>"/" then SavePath=SavePath&"/" '在目录后加(/)
%>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
</head>
<body>
<%
if EnableUploadFile="No" then
 response.write "系统未开放文件上传功能"
else
 'if session("name")="" then
 ' response.Write("请登录后再使用本功能!")
 'else
  select case upload_type
   case 0
    call upload_0()  '使用化境无组件上传类
   case else
    'response.write "本系统未开放插件功能"
    'response.end
  end select
 'end if
end if
%>
</body>
</html>
<%
sub upload_0()    '使用化境无组件上传类
 set upload=new upload_file    '建立上传对象
 for each formName in upload.file '列出所有上传了的文件
  set file=upload.file(formName)  '生成一个文件对象
  if file.filesize<100 then
    msg="请先选择你要上传的文件!"
   founderr=true
  end if
  if file.filesize>(MaxFileSize*1024) then
    msg="文件大小超过了限制,最大只能上传" & CStr(MaxFileSize) & "K的文件!"
   founderr=true
  end if

  fileExt=lcase(file.FileExt)
  Forumupload=split(UpFileType,"|")

  for i=0 to ubound(Forumupload)
   if fileEXT=trim(Forumupload(i)) then
    EnableUpload=true
   else
    EnableUpload=false
    'exit for
   end if
  next

  if fileEXT="asp" or fileEXT="asa" or fileEXT="aspx" then
   EnableUpload=false
  end if
  if EnableUpload=false then
   msg="这种文件类型不允许上传!\n\n孤行一鬼修补此上传漏洞(http://www.qhwins.com),只允许上传这几种文件类型:" & UpFileType
   founderr=true
  end if
  
  strJS="<SCRIPT language=javascript>" & vbcrlf
  if founderr<>true then
   randomize
   ranNum=int(900*rnd)+100
   filename=SavePath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt
   file.SaveToFile Server.mappath(FileName)   '保存文件

   msg="上传文件成功!"
   
   strJS=strJS & "parent.HtmlEdit.focus();" & vbcrlf      
   strJS=strJS & "var range = parent.HtmlEdit.document.selection.createRange();" & vbcrlf
   FileType=right(fileExt,3)
   select case FileType
       case "jpg","gif","png","bmp"
     strJS=strJS & "range.pasteHTML('<img src=" & filename & ">');" & vbcrlf
    case "swf"
     strJS=strJS & "range.pasteHTML('<object classid=clsid:D27CDB6E-AE6D-11cf-96B8-444553540000 codebase=http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=5,0,0,0>"
       strJS=strJS & "<param name=movie value=" & FileName & ">"
       strJS=strJS & "<param name=quality value=high>"
       strJS=strJS & "<embed src=" & FileName & " quality=high pluginspage=http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash type=application/x-shockwave-flash>"
     strJS=strJS & "</embed></object>');" & vbcrlf
    case else
       strJS=strJS & "range.text='[upload=" & FileType & "]" & FileName & "[/upload]';" & vbcrlf
     end select
     strJS=strJS & "parent.parent.form1.DefaultPicUrl.value='" & FileName & "';" & vbcrlf
   strJS=strJS & "parent.parent.form1.DefaultPicList.options[parent.parent.form1.DefaultPicList.length] = new Option('" & filename & "','" & filename & "');" & vbcrlf
   strJS=strJS & "parent.parent.form1.DefaultPicList.selectedIndex+=1;" & vbcrlf
   strJS=strJS & "if(parent.parent.form1.UploadFiles.value==''){" & vbcrlf
   strJS=strJS & "parent.parent.form1.UploadFiles.value+='" & filename & "';}" & vbcrlf
   strJS=strJS & "else{" & vbcrlf & "parent.parent.form1.UploadFiles.value+='|'+'" & filename & "';}" & vbcrlf
  end if
  strJS=strJS & "alert('" & msg & "');" & vbcrlf
    strJS=strJS & "history.go(-1);" & vbcrlf
  strJS=strJS & "parent.HtmlEdit.focus();" & vbcrlf      
    strJS=strJS & "</script>"
    response.write strJS
  set file=nothing
 next
 set upload=nothing
end sub
%>


 

后记:以下这段是我看到网友“痛斥装B”的评论后添加的,呵呵,由于本人忒懒 ,上面的文章中没有分析漏洞产生原因,直接给出了漏洞修补结果,结果让牛人们骂我,并“痛斥我装B”,本着向大牛们学习的态度,我再唠叨几句吧

        上面的这段代码是网友发给我的,好像是某网站管理系统中的上传程序的页面,用的人挺多的,回下面评论中的“痛斥装B”兄弟的话,我粗略看完此源代码,漏洞在于逻辑漏洞,只要第一轮FOR循环中条件为真就跳出循环,让后面的文件格式不做检查,所以才让黑客有机可乘,所以我们可以同时提交多个文件进行上传,让第一个文件合法,促使条件为真,而后面的文件换成我们的木马,我们再看看作者对上传文件后辍名的过滤,程序上传允许的后辍名都写在CONFIG。ASP中的这一行

Const UpFileType="gif|jpg"        '允许的上传文件类型


    程序作者用白名单对文件后辍名进行过滤,这也是一种比较保险的方法,尽管作者这样判断了,但似乎还对自己的代码很不放心,所以在后面代码中又写了一堆代码判断用户提交的是不是ASP之类的后辍名文件,如果是的话就停止上传,其实这段代码完全是没用的垃圾代码,有了第一个白名单过滤就足够了,其实作者后面写的一大堆的后辍名过滤可以很EASY的躲过,比如上传个SHELL.ASP+空格的后辍,这样很容易躺过了后辍名的判断,轻易上传木马。

    程序最后,在保存文件的时候,文件名所有的变量都是系统自动生成的,filename=SavePath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt
其中SavePath为写在页面中的变量,不可能让用户提交来欺骗,其它也是取自系统函数和随机数,更不可能欺骗,你要再说大漏洞躺在那边的话,只能是 fileExt 来欺骗,这个是上传类自动获取的,具体上传类的取文件后辍名的代码我没有检查过,因为用的人很多,我相信另有牛人检查过吧,我也懒得去检查,难道你说的是这里有漏洞?如果“痛斥装B”兄弟再次路过,恳请加我QQ,指点一二,我感激不尽!


上一篇:新Or 1=1的脚本注入技术详解
下一篇:[原创]ASP后门代码
评论列表
正在加载评论……
  
评论   
呢  称:
验证码: 若看不清请点击更换!
内  容:
 
 
  在线洽谈咨询:
点击这里,在线洽谈   点击这里,在线洽谈   点击这里,在线洽谈
与我交谈  与我交谈 与我交谈
乘车路线    汇款方式   加盟合作  人才招聘  
公司地址:青海省西宁市西关大街73号(三二四部队招行所四楼)     青ICP备13000578号-1 公安机关备案号:63010402000123    
QQ:147399120    mail:lostlove000@163.com    电话: 13897410341    邮编:810000
© Copyright( 2008-2009) QhWins.Com All Rights Reserved    版权所有:西宁威势电子信息服务有限公司 未经书面制授权,请勿随意转载!
业务:青海网站制做青海网站建设青海网页设计西宁网站制做西宁网站建设青海域名注册青海网络推广青海网站推广青海空间租用青海软件开发网站安全网络安全