[點(diǎn)晴永久免費(fèi)OA]利用于ASP文件上傳漏洞的0×00截?cái)嗌蟼髂抉R
這篇文章翻譯自:0×00 vs ASP file uploads,原作者是:Brett Moore,SecurityAssessment.公司的,本文寫于04年,原文在這里: www.securityassessment./Whitepapers/0×00_vs_ASP_File_Uploads.pdf,我之所以翻譯它是由于始終以來我對(duì)這個(gè)0×00有懷疑,感到有時(shí)能用有時(shí)又不能用,看了這篇文章,有點(diǎn)清楚了。 說白了一句話:只有form post時(shí)有用,而且只針對(duì)文件名變量,作用于asp的CreateTextFile等辦法。 簡(jiǎn)介 用ASP寫的上傳,有個(gè)共性的問題:空字節(jié)可以被插入到文件名,這樣文件名可以被增加任意擴(kuò)展名,而寫入文件的時(shí)候,空字節(jié)當(dāng)前的局部都會(huì)被疏忽掉。這樣,我們就能夠繞過一些針對(duì)擴(kuò)展名的校驗(yàn)。 這很相似于Perl/PHP,不同在于這個(gè)空字節(jié)是怎么上傳到ASP程序的。 這種情形產(chǎn)生于:數(shù)據(jù)在不檢查空字節(jié)的情況下,比擬、驗(yàn)證后,又直接被傳入FileSystemObject時(shí)。 本文將探討Poison空字節(jié)攻擊如何作用于ASP的上傳腳本。 Scope 本文是基于以下兩點(diǎn)研討:upload時(shí)的POSTmultipart/formdata、Scripting.FileSystemObject對(duì)象。 本文中,咱們集中于CreateTextFile方式,它被用于對(duì)文件寫入。可能其余的object function也有這樣的破綻。 0×00或者空字節(jié)在URL或者通常的form post中傳送不出去,因?yàn)榉?wù)器固然會(huì)以為這是字符串的成果然而并不會(huì)在文件名變量中存儲(chǔ)它的值。 而當(dāng)文件名通過multipart/formdata的方式發(fā)送時(shí),空字節(jié)將會(huì)保存在文件名變量中,這會(huì)影響對(duì)FileSystemObject的調(diào)用。 文件上傳 文件上傳通常是用輸入對(duì)象類型file跟編碼類型multipart/formdata。 application/xwwwformurlencoded不太合適發(fā)送大批的二進(jìn)制數(shù)據(jù)或者非ASCII字符,multipart/formdata則比較適合。 一個(gè)multipart/formdata信息包含了很多個(gè)部分,當(dāng)form被提交時(shí),數(shù)據(jù)會(huì)被處理成multipart/formdata方式,這會(huì)把post的數(shù)據(jù)進(jìn)行編碼,這些數(shù)據(jù)中當(dāng)然也包括空字節(jié)。 文件保留 上傳成功后,文件會(huì)保存在服務(wù)器上的一個(gè)目錄中,下面的代碼就是通常的文件上傳處置代碼: Sub Save(filename) Dim objFSO, objFSOFile pathserver.MapPath("/uploads/") Set objFSO Server.CreateObject( Scripting.FileSystemObject ) Set objFSOFile objFSO.CreateTextFile(path + filename) objFSOFile.Write file contents objFSOFile.Close End Sub 當(dāng)文件名參數(shù)傳到CreateTextFile函數(shù),文件名中可能會(huì)包含空字節(jié)。這會(huì)使得創(chuàng)立的文件名被截?cái)啵兆止?jié)后被忽略。 Set objFSOFile objFSO.CreateTextFile(path + filename) 該文章在 2020/11/30 15:24:42 編輯過 |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
