iis解析漏洞过滤的另类突破

昨晚无聊,在帮朋友看一个站过程中碰到了个网站。论坛YxBbS2.3版,管理员弱口令admin admin/很容易就到了后台。进去之后,既没有备份,上传文件类型cer,asa,php等都被过滤了(在Saveupload.asp)
尝试着在头像上传那里抓包修改然后nc上传,都失败了。折腾了许久,本来想放弃了后来想起了iis解析漏洞,于是试着在上传头像类型那里,添加asa;.jpg类型,然后前台上传头像1.asa;.jpg(该论坛系统头像是上传到/uploadfile/head/目录下)可惜生成的是/uploadfile/head/1.jpg,没有达到利用解析漏洞的目的。后来就想着把后面那个”.”去掉试试,于是随便添加一种类似asa;aa asa;123的文件类型

再到前台上传头像,得到uploadfile/head/1.asa;bb这个文件,成功利用解析漏洞。
后在本机架设的YXBBS3.0版本测试也是成功的(顺带一点3.0还可以用备份到.asa/目录取得shell)

◆这就为偶们小菜提供了一个思路,以后渗透过程中可以通过添加asa;111 asa;aaa等类型(;后面自由命名只要没有.),上传文件取得权限(当然前提是web由iis架设的)

◆类似也可用在“fckeditor将”.”转为”_”的问题上,因为某些版本的fckeditor会将最后一个”.”前的所有”.”都转化为”_”,因此用asa;111,php;11等类型的文件扩展名,就可以将文件名控制在一个”.”内,从而起到利用解析的目的(网上也有通过二次上传从而得到有两个”.”的解析shell———-1.asa;1(1).jpg)

●相比之下,网站系统开发人员可能要费心了————————得过对;这个符号以及cer,asa,php,cdx等敏感扩展名积极过滤, 或者将上传类型限定仅为gif,jpg,rar,png,doc,xls等常用类型,辅以随机数命名文件(测试了DVBBS8.2及科讯CMS,两者都过滤的很好,disuz没测试)。

●     LAST,偶然也发现了1.asa;as’a(带个’就0k了)这种shell,在webshell里貌似删不掉.

本文摘自网络由网络安全(www.91ri.org)收集整理.