Hidden型参数变量未过滤导致的上传漏洞利用一则

核心提示： 图17图18大概是服务器解析目录“asp.asp”的时候把这个目录当作了asp文件，因此出错，Hidden型参数变量未过滤导致的上传漏洞利用一则(4)，为了看清楚些，把asp探针文件后缀改为gif传了上去，ASPUpload上传都可以，这里我用ASPUpload上传

图17

图18

大概是服务器解析目录“asp.asp”的时候把这个目录当作了asp文件，因此出错。

为了看清楚些，把asp探针文件后缀改为gif传了上去。这么看就明白了。

怎么突破呢？可以看到，虽然禁用了FSO组件，但是WScript.Shell组件和Shell.Application组件还在，我们可以用它们来读写文件，只要把用WScript.Shell组件或Shell.Application组件读写文件的webshell写到“asp.asp”以外的web目录里执行就可以了。

图19

图20

这里可以利用的写文件方法很多，如XML写文件，JMail写文件，ASPUpload上传都可以。这里我用ASPUpload上传。构造两个文件“本地提交用.htm”和“upload.gif”，代码如图21