动力漏洞

再暴动力上传漏洞

作者:Linzi 出处:www.71345.com[混客部落] QQ:290329536 这个漏洞我发现很久了,很早都想公布出来了,发到杂志上去,但没有收到回复,所以现在公布出来. 还是先来读一下这个代码吧,可能因为是这个漏洞出来很久了,所以很少有人会再去看一下这个漏 洞的代码,我也是在一样无意中重读这个代码时发现这个漏洞的. const UpFileType="rar|zip|exe|mpg|rm|wav|mid" 定义了可以上传的文件类型 ... dim EnableUpload 定义了是否允许上传的关键变量 ... FoundErr=false 默认FoundErr变量为假，即没有发现错误（哈哈，关键变量哦，看下面） EnableUpload=false 默认EnableUpload变量为假，即不能上传（哈哈，关键变量哦） ... for each formName in upload.file列出所有上传了的文件（！关键，注意这个FOR循环！） set ofile=upload.file(formName) 生成一个文件对象 ... arrUpFileType=split(UpFileType,"|") 取得定义的可以上传的后缀名 for i=0 to ubound(arrUpFileType) if fileEXT=trim(arrUpFileType(i)) then EnableUpload=true hoho，EnableUpload变量改变了！ exit for end if next if fileEXT="asp" or fileEXT="asa" or fileEXT="aspx" then 呵呵，只要是ASP，ASA，ASPX的后缀就废掉了，难怪海洋顶端上不去阿！ EnableUpload=false end if if EnableUpload=false then msg="这种文件类型不允许上传！\n\n只允许上传这几种文件类型：" & UpFileType FoundErr=true hoho，FoundErr变量改变了！ end if ... if FoundErr<>true then 又是一个重要地方，看来FoundErr变量是能否上传的关键，那如何决定FoundErr变量呢？(草草虫ps:偶可以瞪大了眼睛看啊) randomize ranNum=int(900*rnd)+100 生成一个随机数 filename=SavePath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt 没有改变上传文件的后缀，爽阿 ... ofile.SaveToFile Server.mappath(FileName) 保存文件 response.write "软件上传成功！软件大小为：" & cstr(round(oFileSize/1024)) & "K" strJS=strJS & "parent.document.myform.DownloadUrl1.value=" & fileName & ";" & vbcrlf 晕拉~还返回上传后改的名字，这回好了，不用猜了。 strJS=strJS & "parent.document.myform.SoftSize.value=" & cstr(round(oFileSize/1024)) & ";" & vbcrlf 注：...表示省略了部分代码 具体的漏洞原理分析,我不想多说了,因为有太多的人分析了,我这里只分析"if fileEXT="asp" or fileEXT="asa" or fileEXT="aspx" 这一句,这一句他定义了上传的类型,很多人还在后面加个了 fileEXT="cer"等等等等,用来补上上传漏洞,但经过分析就会发现,这种补法是无济于事的.因为如果 我们上传的东西扩展名为asp.(后面有个.)根据windows中,windows会有自动吃掉吃"."的"好"习惯, 那么我们上传的asp.满足了代码中的要求,且上传后点会自动消失,这样的上传,即使你在后面加 了多少个cer等都无济于事.不过在对动力有的版本时,你上传有点的asp,他会自动生成一个无扩展 名的文件,所以如:我们上传的是newmm.asp.就会变成newmm这个没有扩展名的文件,那怎么办呢, 开始的时候我也郁闷,后来在课堂上想这个问题时,想着想着,突然有了灵感.如果我们在后面加上个 空格呢,asp (注意有空格)不就满足代码上的条件,而且上传之候windows又有吃掉空格的"好习惯", 所以我们构造的上传文件自然就会上传成功.另外如果加个#也一样,同样可以成功.用这个方法可 以突破大多数3.51的补丁限制,不过我说的这个补丁只是fileEXT="asp" or fileEXT="asa" or fileEXT="aspx" 这种后面加上防上传扩展名的补丁,如果你把upfile.asp改成和3.6的一样的,就不会 有这个漏洞. 不要认为只有动力的文章有这个漏洞,要知道,网络上这种型的web程序非常多,例如武易传奇,还有 凡尘文学,各种OA办公的等等,总之有非常非常多,我试了好几种类型上传文件的全部成功.这样下 菜鸟们可以说又有一大堆的肉鸡了,对于文中所说到的利用,我做成了动画,另外再一下,如果是和动 网整合的动力,下载的数据库在dv_log可以有时可以查看没有加密过的密码.

动力3.51最新多个注入

1、文章，软件评论 每篇文章和软件结尾我们都可以发表评论，在没有任何评论的时候大家看不出来。但是如果你试试发表一篇评论，你会发现多出一个“查看关于此文章（软件）的所有评论”点击。呵呵注入口出来了，这里大家就可以注入了。 Article_CommentShow.asp?ArticleID=228 Soft_CommentShow.asp?SoftID=177 2、栏目标题 大家在点击每个文章栏目或是软件栏目的时候可以注入。 Article_Class2.asp?ClassID=3 Soft_Class.asp?ClassID=4 3.用户排行 在首页大家一般都可以看见用户排行，大家点击任何一个用户。就可以注入了。 UserInfo.asp?UserID=3440 我想应该还有些地方存在，我在这里要请各位站长注意，在使用动力系统的时候一定要检查勿出现这种低级的错误。还有就是我测试的是艺龙美化版本，具体其他版本在美化过程中有没有修补就不知道了，但是我还是系统大家检查一下。

自由动力3.6 sp2的注入漏洞

by:rain[918x]　　http://www.918x.com 涉及程序： 自由动力3.6 sp2以下免费版本 部分Easypower4.0以下免费版本 详细： 自由动力3.6 sp2中多个文件过滤不严存在注入漏洞 下列文件匀存在被注入的危险： Article_Class.ASP Photo_Class.asp Soft_Class.asp UserInfo.ASP 对于广大黑客朋友可以使用破解版的ＮＢＳＩ轻松获得admin表里的管理员名和md5加密后的密码．如果暴力破解成功，再利用数据库备份，可轻松获得一个webshell． 自由动力使用广泛，请各站长注意！！！ 攻击方法：(注意：本站旨在提供安全学习，勿做危险用途) 使用破解版的ＮＢＳＩ轻松注入： http://www.target.com/UserInfo.asp?UserID=1 注意：特征字符填写　id 即可破解． 其他文件关键在于特征字符的找寻，即可注入． 这里不祥解．

动力3.51网站管理系统的又一收费漏洞及其解决方法

<tr>           <td><%call ShowArticleContent()%></td>         </tr>       </table></td>   </tr> </table> </body> </html> <% end if rs.close set rs=nothing call CloseConn %>

动力3.51管理系统漏洞“填补”方法!

我的网站 飞越快乐家园 已经按上面修改过并测试成功啦!有兴趣的可以到我的网站上去测试!

突破动力文章上传asp的限制

在入侵动力文章 在入侵动力文章系统，成功进入后台后，也许你会发现，它的后台没有上传ASP的功能，因为动力文章系统的文件过滤是直接写在代码里的。我介绍一种突破这种限制的方法。虽然它禁止了上传ASP，但是我们可以直接写代码啊！ 推荐版权信息输入框，框框大比较好写一点^_^。注意，动力文章系统是将这里写入的代码以字符串的形式写道Config.asp里的，所以我们直接复制ASP木马的代码是行不通的。我们需要修改一下代码，使其符合ASP语法就可以了。注意：这种方法只有一次，写入后config.asp就会改变，整个动力文章系统就不能访问了。所以你最好先在自己的电脑里试好了再到网上用。 如果你不会ASP的话，只有用现成的改了。听一个朋友说用海洋3.1写入插件改挺容易，只要把前后的<%  %>去掉，再在前后加上个双引号就行了。写入成功后，在浏览器里输入inc/config.asp?alien=1就可以得到一个可写入文件的ASP页面了。