日期:2013-12-04  浏览次数:20845 次

关于Oblog 2.52 help.asp漏洞的修补问题

这是一件很有意思的事情。

OBlog是一套基于asp的Blog系统,目前的版本是2.52吧。

前些日子,出现了个help.asp文件漏洞,

可以查看任意文件的源文件,包括asp文件,后果自然是严重的。


现在,这个问题官方已经修补了,修改后的关键代码如下:

<%
fname=trim(request("file"))
fname=lcase(fname)
fname=replace(fname,"asp","")
if fname="" then
fname="help/h_sysmain.htm"
end if
if right(fname,4)=".htm" then
show_help="当前位置:<a href='index.asp'>首页</a>→blog使用帮助<hr noshade>"
show_help=show_help&adodb_loadfile(fname)
show=replace(show,"$show_list$",show_help)
response.Write show
call bottom()
else
response.Write("输入文件不正确")
end if
%>


昨天某个QQ群里,一个用户突发奇想,说是修补后的上面这段代码依然有问题。

下面来看看他的分析思路:

修补的代码主要是两方面,一个是替换掉所有的asp字符串,防止查看asp文件,二是只有后缀是htm的文件才能用。

首先,看看替换asp的代码:

fname=replace(fname,"asp","")

所以如果访问help.asp?file=conn.asp的时候,就变成了help.asp?file=conn.了

那么如果我们访问help.asp?file=conn.aaspsp呢,经过替换以后就变成了help.asp?file=conn.asp了。

所以,这个替换asp的保护措施不是很可靠的,还是可以绕过去的。


那么,再看第二点,就是怎么绕过后缀是.htm的检查

他的思路是这样的:

前段时间不是有个上传漏洞吗,我们一般都是先抓包,然后修改数据,

构造文件名,如a.asp%00.gif,

这样,上传程序还会以为这就是gif文件,而实际保存的时候只保存成a.asp了。

那么在这里,不是也可以吗?

构造一个conn.asp%00.htm的文件名,这样就能够欺骗过fname的检测,

然后在adodb_loadfile(fname)函数里,真正打开的是conn.asp文件,

这样就达到了目的。



从他的思路来看,还是比较合乎逻辑的,

而且,他分析的第一步,就是绕过对asp的检查也是正确的

只是第二步,他的理解还是有误的。

好多人知道上传漏洞,可是到底什么是上传漏洞,

好多人就不清楚了。

而且在asp中,和php,perl里面又有些不同。

具体可以参考一下这个文档,

http://security-assessment.com/Papers/0x00_vs_ASP_File_Uploads.pdf

相信对大家理解上传漏洞还是比较有帮助的。