Asp系統上傳原理分析

Asp系統上傳原理分析

上傳漏洞，這是一種比注入更有殺傷力的漏洞。它可以把ASP、JSP、CGI、PHP等格式的木馬上傳至網站目錄內，所得到的許可權最低也是 WEBSHELL，如果碰到的是安全意識不強的管理員，還可以通過傳送許可權提升的工具給自已搞個管理員玩玩，對於上傳漏洞的尋找，仍是從源檔案入手，目標有兩個，一個是FilePath（檔案路徑），另一個則是FileName（檔案名稱）。

一、FilePath

說到FilePath，有些朋友可能感到陌生，但要提到動網6.0的上傳漏洞，大家一定不陌生吧！其上傳漏洞就是由於FILEPath過濾不嚴引起的。雖然動網已不存在此漏洞了，但採用此上傳源碼的程式還是大有人在的，比如我手頭這款“萬豪下載程式”，其ADS（廣告）版塊中的Upfile.asp（上傳），就有Filepath過濾不嚴的漏洞，來分析一下其部分源碼：

<%

dim upload,file,formName,formPath,iCount,filename,fileExt '//定義上傳變數

set upload=new upload_5xSoft '//建立上傳對象JM的測試代碼

formPath=upload.form("filepath") '//第一步、擷取檔案路徑，此處是關鍵。

if right(formPath,1)<>"/" thenformPath=formPath&"/"

for each formName in upload.file '//用For讀取上傳檔案

set file=upload.file(formName) '//產生一個檔案對象jmdcw

…………………… '//省略部分代碼

fileExt=lcase(right(file.filename,4)) '//從檔案名稱中截取後4位，並轉換為小寫字元。

if fileEXT<>".gif" and fileEXT<>".jpg" andfileEXT<>".zip" and fileEXT<>".rar" andfileEXT<>".swf"then '//副檔名判斷

response.write "<font size=2>檔案格式不正確 [ <ahref=# onclick=history.go(-1)>重新上傳</a>]</font>"

response.end

end if

randomize

ranNum=int(90000*rnd)+10000

filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&fileExt'//第二步、filename由提交的檔案路徑＋年月日的隨機檔案名稱＋轉換後的副檔名組成

if file.FileSize>0 then

file.SaveAs Server.mappath(FileName) '//儲存檔案jmdcw

end if

set file=nothing

next

%>

在這段源碼中，要關鍵的就這兩句：

1、formPath=upload.form("filepath")

2、filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&fileExt

廣告插播。變數與常量：所謂變數就是指在程式的運行過程中隨時可以發生變化的值；而常量則恰恰相反，指的是在程式的運行過程中始終保持不變的值。

下面來看一下漏洞是如何形成的。在第一句代碼中，從變數filepath中擷取檔案的儲存路徑，然後在第二句中，用路徑變數formPath加隨機產生的數字及經過判斷的副檔名合成為一個新的變數，這個變數Filename就是上傳檔案儲存的路徑及名稱。這樣說有些籠統，下面舉例說明。比如選擇“111.jpg”檔案上傳，在上傳過程中，隨檔案一起上傳的還有一個FilePath變數，假設其值為“image”，當這些值傳到 upfile.asp中，filename就變成了：“image/200512190321944973.jpg”，上傳成功後，該111.jpg就被儲存到image檔案夾內，檔案名稱字也被改成了：“200512190321944973.jpg”。這段流程，看起來無懈可擊，但還是被牛人研究出了突破方法，什麼方法呢？很簡單，突破點就在變數身上，如果將其FilePath值改為“image/aa.asp□”，其後的“□”表示二進位的00（空的意思），這樣，該變數提交入upfile.asp後，Filename值就變成了
“image/aa.asp□/200512190321944974.jpg”，伺服器在讀取這段變數時，因為“□”是二進位的00，認為該變數語句已經結束了，於是“□”後面的字元也就被忽略掉了，這樣一來，Filename就成了：“image/aa.asp”，程式再用file.SaveAs進行儲存的話，這個檔案就儲存成了aa.asp檔案，瞧！漏洞出現了。

對於這個漏洞的利用，可以使用桂林老兵的上傳工具，也可以採取用WinSock抓包，然後用記事本儲存提交資料並增加、修改相關內容，再用WinHex修改空格為二進位，最後用NC提交的方法。以上兩種的使用方法，請參閱相關的文章（刺蝟2005作品）。

二、FileName

介紹過FilePath（上傳路徑）過濾不嚴的漏洞，再來看一看FileName（上傳檔案名稱）過濾不嚴造成的漏洞，上傳檔案名稱過濾不嚴的形式是多種多樣的，偶這裡介紹兩種：

1、動易文章

2005.10期中的《再現昔日漏洞——沁竹音樂程式的疏忽》，所涉及的上傳漏洞就是動易的上傳漏洞，下面以此為例，來看一下其上傳檔案Upfile_Article.asp中的部分源碼：

<%

Const UpFileType="rar|gif|jpg|bmp|swf|mid|mp3" '//允許的上傳檔案類型jmdcw

Const SaveUpFilesPath="../../UploadFiles" '//存放上傳檔案的目錄，註：以上兩個常量均在config.asp檔案內定義'刺蝟測試代碼

dim upload,oFile,formName,SavePath,filename,fileExt //變數定義

……………………

FoundErr=false '//此為是否允許上傳的變數，初始化為假，表示可以上傳。

EnableUpload=false '//此為上傳副檔名是否合法的變數，初始化為假，表示的是不合法。

SavePath = SaveUpFilesPath '//存放上傳檔案的目錄

……………………

sub upload_0() '//使用化境無組件上傳

set upload=new upfile_class '//建立上傳對象

……………………

for each formName in upload.file '//用For迴圈讀取上傳的檔案。 jmdcw

set ofile=upload.file(formName) '//產生一個檔案對象

……………………

fileExt=lcase(ofile.FileExt) '//將副檔名轉換為小寫字元

arrUpFileType=split(UpFileType,"|") '//讀取後台定義的允許的上傳副檔名

for i=0 to ubound(arrUpFileType) '//第一關，用FOR迴圈讀取arrUpFileType數組。

if fileEXT=trim(arrUpFileType(i)) then '//如果fileEXT是允許上傳的副檔名

EnableUpload=true '//EnableUpload為真，表示該檔案合法。

exit for

end if

next

if fileEXT="asp" or fileEXT="asa" orfileEXT="aspx" then '// 第二關，驗證fileEXT是否為asp、asa、aspx副檔名。

EnableUpload=false '//如果屬於這三項之一，那麼EnableUpload就定義為假，上傳副檔名不合法。jm

end if

if EnableUpload=false then '// 第三關，驗證關。如果傳遞到此的EnableUpload變數為假，則說明上傳副檔名不合法。

msg="這種檔案類型不允許上傳！\n\n只允許上傳這幾種檔案類型：" & UpFileType

FoundErr=true '//注意：因為檔案名稱不合法，就更改了FoundErr值，由初始的false改為true。

end if

strJS="<SCRIPT language=javascript>" & vbcrlf

if FoundErr<>true then '//第四關，上傳關。如果FoundErr不等於true才可以上傳。

randomize

ranNum=int(900*rnd)+100

filename=SavePath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt'//定義filename，其值為固定的路徑名+年月日及隨機值產生的名稱+傳遞過來的fileExt副檔名。

ofile.SaveToFile Server.mappath(FileName) '//儲存檔案 cw's

msg="上傳檔案成功！"

……………………

next

set upload=nothing

end sub

%>

在這段源碼中，用到了兩個FOR迴圈、兩個邏輯變數，第一個FOR迴圈“for each formName in upload.file”用於取得所有上傳的檔案名稱；第二個FOR迴圈“for i=0 to ubound(arrUpFileType) ”用於檢測副檔名。而兩個邏輯變數是EnableUpload和FoundErr，EnableUpload用於表示副檔名的合法性，True表示合法；而FoundErr則用於表示檔案是否可以上傳，False表示可以上傳，很奇怪？用的是False！如果我們上傳的是一個檔案，那此段代碼是無懈可擊的，但要上傳兩個呢？因為化境無組件上傳可以上傳多個檔案，OK！來看一下上傳多個檔案的流程：

首先，構造一個有兩個上傳框的本地HTM檔案，HTM代碼如下：

<form action="

<input name="FileName1" type="FILE"class="tx1" size="40">

<input name="FileName" type="FILE" class="tx1"size="40">

<input type="submit" name="Submit" value="上傳" >

</form>

運行這個HTM，在第一個框內選擇一個jpg圖片，檔案名稱為“111.jpg”，在第二個框內選擇一個Cer檔案，檔案名稱為“222.cer”，點“上傳”把這兩個檔案提交給程式。接下來到Upfile_AdPic.asp中觀察這兩個檔案的上傳流程（注意其中邏輯變數的變化）。

1、在進入第一個FOR（讀取檔案名稱）之前，程式先將變數FoundErr定義為 false、EnableUpload定義為false，然後讀取檔案名稱，先驗證第一個檔案111.jpg，在驗證的第一關中，jpg屬於允許上傳的類型，變數EnableUpload=true。

2、接著到第二關，檢驗是否屬於三種禁傳類型，因為不屬於，變數EnableUpload仍為true。

3、再到第三關卡，如果EnableUpload=false，那麼FoundErr=true，而前面傳遞來的EnableUpload=true，那FoundErr仍為進入第一個FOR迴圈之前的false。

4、最後進入第四關，此關的驗證是：如果FoundErr<>true就可以通過，看一下從第三關傳遞過來的FoundErr的值，是 false，可以上傳。這裡請注意，在111.jpg上傳後，EnableUpload的值保持為true，FoundErr的值是false。

5、接著程式讀取第二個檔案222.cer，進入第一關驗證是否為允許上傳類型，如果cer 屬於此範圍就給EnableUpload定義為true，而 cer不屬於，所以就保持原值，EnableUpload的原值是什嗎？看一下111.jpg上傳後的變數值：“EnableUpload的值保持為 true”，那麼此時cer檔案的EnableUpload值就是true了。

6、再到第二關，cer同樣不屬於此限制範圍，又跳過IF語句，再看EnableUpload的值，仍保持為true。

7、又到第三關了，因為EnableUpload=true，又跳過了此關驗證。直接進入第四關，這時回頭看一下FoundErr的值，自cer進行上傳驗證開始，一直未出現FoundErr，FoundErr的值是什嗎？呵呵，它還是 111.jpg上傳後的值false，而第四關的驗證就是只要 FoundErr不是true就可以上傳，所以，這個cer檔案也就通過了層層關卡，進入了伺服器。

除了cer格式的，還可以上傳asp□（□在這裡表示空格，以下同）、asp.格式的檔案，方法很簡單，就是把上傳框中的asp名稱加入空格或小數點，因為是asp□、asp.格式，其繞過方式和cer是一樣的，而上傳到伺服器中的asp□或 asp.的副檔名，因為Windows檔案命名原則，會去除後面的空格和小數點，儲存的就是asp格式了。

2、動感商務2005

說過了動易的上傳漏洞，再來介紹動感商務2005的上傳漏洞，今天真是太巧了，動網、動易、動感，全是帶動的，哈哈！動易是由於上傳多個檔案引起的漏洞，而動感則是因為檔案名稱過濾不嚴出現上傳漏洞。（刺蝟2005作品）下面是動感2005上傳upfile.asp中的部分源碼：

<%

Private Sub SaveFile_0() '//無組件上傳

……………………

Set File = UploadObj.File(FormName) '//取得上傳檔案名稱 cw'sfiles

FileExt = FixName(File.FileExt) '//第一步、用FixName函數過濾上傳檔案的副檔名

If CheckFileExt(FileExt) = False then '//第二步、用CheckFileExt檢查過濾後的副檔名

ErrCodes = 5

EXIT SUB '//退出上傳

End If

FileName = FormatName(FileExt) '//合格話，就用FormatName函數按日期組建檔案名

……………………

If File.FileSize>0 Then

File.SaveToFile Server.Mappath(FilePath & FileName) '//儲存的檔案路徑及名稱是Filepath+FileName

……………………

End Sub

%>

下面再來看一下上傳所涉及到的一些參數。

A、FixName()函數：

Private Function FixName(Byval UpFileExt) '//第一步的過濾函數，過濾特殊副檔名。

If IsEmpty(UpFileExt) Then Exit Function '//如副檔名為空白就退出互動

FixName = Lcase(UpFileExt) '//將副檔名轉換為小寫字元。

FixName = Replace(FixName,Chr(0),"") '//將二進位的00Null 字元過濾為空白

FixName = Replace(FixName,".","") '//將單引號過濾為空白，下同。 jmdcw

FixName = Replace(FixName,"'","")

FixName = Replace(FixName,"asp","")

FixName = Replace(FixName,"asa","")

FixName = Replace(FixName,"aspx","")

FixName = Replace(FixName,"cer","")

FixName = Replace(FixName,"cdx","")

FixName = Replace(FixName,"htr","")

FixName = Replace(FixName,"shtml","")

End Function

從中，我們可以看出，應用程式asp.dll映射的類型全部過濾了，除此之外，還有小數點、單引號也被過濾，甚至連Chr(0)都過濾了，Chr(0)是什嗎？它就是16進位的0x00，表示為二進位是00000000，也就是前面在 FilePath上傳漏洞中大顯神通的Null 字元。

B、CheckFileExt()函數:

Private Function CheckFileExt(FileExt) '//第二步的判斷函數，判斷檔案類型是否合乎要求

Dim Forumupload,i

CheckFileExt=False '//定義CheckFileExt的初始值為假，

If FileExt="" or IsEmpty(FileExt) Then '//第一次、為空白則退出

CheckFileExt = False

Exit Function

End If

If FileExt="asp" or FileExt="asa" or FileExt="aspx"or FileExt="shtml" Then '//第二次、如果屬於這四種類型也退出互動

CheckFileExt = False

Exit Function

End If

Forumupload = Split(InceptFile,",") '//第三次、從InceptFile中提取背景上傳副檔名

For i = 0 To ubound(Forumupload) '//用For迴圈檢驗

If FileExt = Trim(Forumupload(i)) Then '//如果和後台中的任一上傳副檔名相符，則CheckFileExt = True。

CheckFileExt = True

Exit Function

Else

CheckFileExt = False

End If

Next

End Function

這個函數對經過FixName()函數過濾後的副檔名再次判斷，其中有三次檢查，第一次是判斷傳遞而來的副檔名是否為空白，為空白則退出上傳，第二次是判斷副檔名是否屬於asp、asa等四種限傳類型，屬於也退出上傳，第三次就是用該副檔名同後台內自訂的上傳副檔名進行對比，符合就允許上傳。

C、FilePath值：

其所用到的filepath在upload.asp中，其值如下：

if info_name="bbs" then

FilePath = "/bbs/upload/"

else

FilePath = "/uploadpic/"

end if

FilePath是一個常量，從這條路找漏洞是行不通的了。

OK！下面上傳一個檔案來看其驗證流程，比如上傳的檔案名稱為“111.cer”，在用“FileExt = FixName(File.FileExt)”過濾副檔名時，因為cer屬於fixName()函數的過濾範圍，所以副檔名cer就成了空，當把這個空的副檔名傳遞給CheckFileExt()，在其進行到“If FileExt=""or IsEmpty(FileExt)”語句時，就會因為FileExt為空白而退出互動，返回格式不正確，拒絕上傳。

如何突破呢？其突破點就在FixName()函數中，上面我們也看到，在上傳時cer會被過濾為空白，但如果我們把上傳副檔名改為ccerer，同時，在背景自訂上傳類型中增加“ccerer”、“cer”，這樣，副檔名為ccerer的檔案在經過第一步FixName()的過濾後，ccerer就變成了cer（中間的cer字元被過濾為空白），傳遞此值到CheckFileExt()函數中，通過其第一次不空的關卡，再通過第二次限制類型的關卡，最後到對比後台上傳類型關卡，因為在前面我們已添加了“ccerer”、“cer”兩種類型，那麼也就通過CheckFileExt()第三次的判斷，
CheckFileExt = True，也就把這個副檔名ccerer的檔案上傳到伺服器中了，並且上傳後的副檔名是cer。

有的朋友可能會問，如果上傳副檔名為aaspsp□或aaspsp.格式的檔案，在經過FixName()函數的過濾，不就變成了asp□或asp.了，而這兩種格式也不在限制的範圍，只要在後台中加上這幾種類型，不就可以把上傳的檔案儲存為asp格式了？其實當初我也是這個想法，但經過仔細的研究分析，發現此路不通，為什嗎？先說小數點，在FixName()中，有這麼一句，FixName =Replace(FixName,".","")，將小數點過濾為空白，瞧！小數點的路斷了。再來看空格，雖然FixName()中沒有過濾空格，但在
CheckFileExt()讀取後台上傳類型時有這麼一句：“If FileExt = Trim(Forumupload(i)) Then ”，其中有個Trim()，Trim的作用是刪除字串開始和尾部的空格。雖然在後台能寫入了asp□類型，但在讀取時，卻會被Trim()過濾成 asp，而aaspsp□通過層層關卡到了此處，已變成了asp□，asp□<>asp，證件不符！Sorry，拒絕進入！

總而言之，上傳漏洞是比較吸引眼球的。偶用上面三個例子對上傳漏洞管中窺豹了一番，希望對各位朋友有所協助。