议题作者：20314554
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

  头几天遇见一个动网Ver5.0 Build 0519的论坛。
  动网5的论坛的upfile.asp存在上传漏洞，本来上传个木马就结束了的。可是把木马传上去以后却遇上了麻烦的事儿。木马上传到了uploadImages的文件夹下，访问uploadImages/1.asp，直接弹出提示框叫我不要进行非法操作；然后我又把文件后缀改为1.txt直接访问，可以显示出木马的代码；我又尝试把木马上传到其他的目录下，结果失败了。无法写入文件。
  由此推测：1）该站两个上传图片的文件夹都是有写入权限而没有执行权限的。
        2）该站的根目录和其他目录都是有执行权限而无写入权限。

    疑惑：1）该站长究竟是用什么方法让我访问无执行权限的目录下的ASP和ASA文件的时候弹出警告对话框。
        2）有没有什么可以突破的方法？希望各位兄弟能够提供思路。

    补充：我花了些时间在网上找了几个关于动网5的漏洞，不过试验以后都失败了。包括修改COOKIE获得管理员MD5加密密码等。
  该版本动网论坛的下载地址：http://down.cndw.com/new_Softview/SoftView_2140.asp

不过我觉得uploadImages目录应该有执行权限！可以试试不存在的asp文件看下有什么反应！

To 1楼的兄弟：我还没有获得后台的权限，只是用动网5的上传漏洞传的木马上去。

To 2楼的兄弟：我在uploadImages这个目录随便输入一个55555.asa（不存在的文件）然后访问。。也是弹出那个不要执行非法操作的对话框。这个说明了什么？

我尝试过传CS模式的木马上去。。不过无法连接上。。。应该是没执行权限吧。

不知道动网5有没有其他可利用的漏洞。。

to 楼主.


既然存在上传漏洞,  你可以尝试上传一个 *.shtml web文件上去. 他不可能不让执行 shtml吧!
将 *.shtml 修改其内容为<!--#include file="conn.asp"--> 如果你上传的文件在uploadImages目录,就改其为 <!--#include file="../conn.asp"-->  ../ 调用上级目录的文件

你再访问 *.shtml  查看源文件, 就可以找到他的数据库地址,  下他数据库  DV_log找管理员密码,提权也就容易了

如果这些方法都不行，我建议你试下跨站，想下别的方法，不一定非得局限在上传这个范围！

To 4楼的兄弟：感谢，你的思路很好，我在本机进行了测试。
2003+IIS6环境，在IIS中建立了一个网站，再随便放了一个ASP网站进去，保证这个网站可以运行后，在网站的根目录下建了一个1.shtml文件，内容为： <!--#include file="conn.asp"--> 确定大小写正确后，访问这个文件，却提示404错误，不知道为何，望指教。

To 5楼的兄弟： 你估计是没仔细看我的描述吧。
2）该站的根目录和其他目录都是有执行权限而无写入权限。
我曾经把木马传到其他目录都宣告失败。
他的设置应该是两个可以写入的文件夹没有执行权限。而其他所有的文件夹都只有执行权限而没有写入权限。

本以为动网5的论坛三除五下就直接解决了的。没想到遇到这么棘手的问题。 。汗。。
  大家继续讨论。

to 20314554


你确信你搭建的网站目录有  conn.asp  这个asp文件?  我在 iis 6  2003 server 测试成功

引用:

这里是引用第[8 楼]的only_over于2006-04-12 19:49发表的：
to 20314554


你确信你搭建的网站目录有  conn.asp  这个asp文件?  我在 iis 6  2003 server 测试成功

也许是我的虚拟机的问题。。我在上面安了MSSQL。TOMCAT。PHP。APACHE等N多的东西做实验。
  可能有兼容性的问题吧。

  刚才我在那个动网论坛去试过了。1.shtml是传上去了。在uploadimages目录下。运行也没有弹出警告的提示框。。不过直接把1.shtml的内容现出来了。。没有执行include的命令。。。。
  估计是该目录没有任何执行权限。。
  如果有兴趣的话，我把该论坛的地址短信发给你。一起研究研究？

有没想过是杀毒软件的问题～～～或是一些检测软件的问题！！！试下暴库吧，这个版本应该可以暴～～．或试下默认数据库看下！ [s:75]

没必要那么麻烦，既然是动网5.0就可以进行cookie欺骗，在用户资料里直接修改管理员的密码，是不需要进行验证的。进入后台后，你可以添加上传的类型，加asp都没任何问题。

再有有点想法就是如果后台就备份数据库，你可以把conn.asp备份到任意目录的文本，打开后就拿到数据库了。


TO10楼，不可能是杀毒软件的问题。

To 10楼：不是杀毒软件的问题。因为访问不存在的asp文件也会弹出提示。默认数据我当然试过。。。早就改了。。
To 11楼：我用过cookie欺骗。。可是失败了。。估计是0519这个版本补上了这个漏洞。


  现在唯一可用的估计只有跨站攻击了。。
不过我不熟悉。。。郁闷。

很傻傻的问题 [s:70] ~
55555555打了半天的又重新打。。。
很有可能1.asp本是一个存在的文件 而你误认为1.asp为自己的马马~呵呵~
而1.asp很可能就是管理员自己放上去或其他的人放上去的~ 1.asp无法覆盖 而你没有上传成功~
但是1.asp存在你访问了原先的那个1.asp而已 从头到尾1.asp就是一个弹出警告而无法覆盖的一个文件而已 。。。
况且真按你说的那样 传上去的文件会设置成带警告的文件 我认为这样
也只是javascript限制而已嘛~很容易饶过的~你直接把这个页面下载回来 然后因为文件上去了只是多了一个javescript弹出筐限制而已 你本提建个表单 向你在站上的小马写数据就是啦~
呵呵我语言上可能有点问题~反正大概就是这个意思拉~呵呵！
[s:79]

还有一种可能喔！
就是IIS定义里对get上来的ASP只类的文件惊醒了判断 然后只要是asp只类的文件就把上上来的文件的源码追加或者覆盖上javascript弹出窗口警告提示~
这样的话你加个GIF头呵呵~说不定可以饶过喔！嘿嘿！

To easylun10
   你说的第一种情况不可能。。。我访问不存在的ASP文件也会弹出提示。。。
    你说的第二种情况有可能。。
但是我认为更有可能是他把无执行权限提示的那个文件改成了这个弹出提示框的。。。

改成就改成咯~
呵呵 你不如把已有的文件覆盖咯~呵呵~这样总不会有提示吧?
呵呵.. [s:74]

记得还有个在设置头像那里移动conn.asp到指定目录，这个文章好象以前看过具体方法忘记了
因为那时候没太注意这个东西

答：Win2003默认是不允许SHTML文件的。
打开了SHTML支持，打开web服务扩展——就是允许“在服务器端包含文件”。