來源：邪惡八進(jìn)制 作者：千寂孤城 
一、方法  

1、先進(jìn)后臺(tái)。利用CheckUserLogined漏洞直接加個(gè)后臺(tái)管理員。關(guān)于這個(gè)CheckUserLogined漏洞我在《Blog的噩夢》（http://www.eviloctal.com/forum/htm_data/10/0508/13721.html）中有詳細(xì)的說明，大概就是說可以通過Cookies欺騙搞SQL注入。  
2、在后臺(tái)的“網(wǎng)站信息配置”處有個(gè)“普通會(huì)員上傳文件類型”，給它加一個(gè)aaaspspsp類型。  
3、用個(gè)普通帳號(hào)登陸，來到上傳文件的頁面http://blog.***.com/upload.asp，看到了嗎？可上傳文件多了個(gè)“aaspsp”類型。好，把你的馬x.asp改名為x.aaspsp，然后傳上去。  
4、到你自己的blog后臺(tái)去看一看，是不是成功上傳了x.asp了？：）  

二、原理  

本來剛開始我是直接在后臺(tái)的“普通會(huì)員上傳文件類型”里加了個(gè)“|asp”，結(jié)果發(fā)現(xiàn)上傳失敗。于是去Down個(gè)oBlog 2.52下來。讀了讀upload.asp的代碼，大家一起看看：  


 '初始化上傳限制數(shù)據(jù)  
 Sub InitUpload()  
 ……  
 Select Case cint(DecodeCookie(Request.Cookies(cookiesname)("userlevel")))  
 Case 7  
 if rs("upfile_user")="true" then  
 themax=round(user_maxsize-theuped/1024)  
 sAllowExt = rs("upfile_user_type") '注意這里，得到我們在后臺(tái)設(shè)置的可上傳文件的類型，放入sAllowExt變量中  
 if themax>rs("upfile_user_size") then  
 nAllowSize = rs("upfile_user_size")  
 else  
 nAllowSize = themax  
 end if  
 else  
 sAllowExt = "暫無上傳權(quán)限"  
 nAllowSize = 0  
 end if  
 ……  
 End Select  
 sAllowExt = filtfilename(sAllowExt) '這里是對sAllowExt進(jìn)行檢查  
 ……  
 End Sub  

以上代碼是說如果是普通用戶，那么就給字符串sAllowExt賦值為我們在后臺(tái)設(shè)定的那個(gè)“普通會(huì)員上傳文件類型”：jpg|png|bmp|rar|zip|asp。但是請注意，sAllowExt然后還必須經(jīng)過filtfilename()的檢查。再接著看：   
 '保存操作  
 Sub DoSave()  
 Set oFile = oUpload.File("uploadfile")  
 sFileExt = UCase(oFile.FileExt)  
 osize = oFile.Filesize  
 Call CheckValidExt(sFileExt) '檢查文件擴(kuò)展名是不是sAllowExt里有的  
 sFileExt=filtfilename(sFileExt) '哎，filtfilename又來了  
 ……  
 oFile.SaveToFile Server.Mappath(sUploadDir & "/"& sFileName)  
 ……  
 End Sub  

以上代碼就是說文件擴(kuò)展名必須是sAllowExt里有的然后才能上傳。上傳后保存到目標(biāo)計(jì)算機(jī)上時(shí)擴(kuò)展名還要被filtfilename過濾一次。那么那個(gè)filtfilename到底是什么東西呢？我們看看：   
 Function filtfilename(filename)  
 If IsEmpty(filename) Then Exit Function  
 filename = Lcase(filename)  
 filename = Replace(filename,Chr(0),"")  
 filename = Replace(filename,".","")  
 filename = Replace(filename,"asp","")   
 filename = Replace(filename,"asa","")  
 filename = Replace(filename,"aspx","")  
 filename = Replace(filename,"cer","")  
 filename = Replace(filename,"cdx","")  
 filename = Replace(filename,"htr","")  
 filename = Replace(filename,"asax","")  
 filename = Replace(filename,"ascx","")  
 filename = Replace(filename,"ashx","")  
 filename = Replace(filename,"asmx","")  
 filename = Replace(filename,"axd","")  
 filename = Replace(filename,"vsdiso","")  
 filename = Replace(filename,"rem","")  
 filename = Replace(filename,"soap","")  
 filename = Replace(filename,"config","")  
 filename = Replace(filename,"cs","")  
 filename = Replace(filename,"csproj","")  
 filename = Replace(filename,"vb","")  
 filename = Replace(filename,"vbproj","")  
 filename = Replace(filename,"webinfo","")  
 filename = Replace(filename,"licx","")  
 filename = Replace(filename,"resx","")  
 filename = Replace(filename,"resou","")  
 filename = Replace(filename,"jsp","")  
 filename = Replace(filename,"php","")  
 filename = Replace(filename,"cgi","")   
 filtfilename=filename  
 End Function  

是過濾函數(shù)，害我們不成功的就是這個(gè)東西。  

最新評論