利用条件:

1.iis版本为6.0 

2.上传文件名不会重命名

利用:

上传一个jpg木马图片 名字为:cs.asp:.jpg 注意是: 默认windows是不允许文件字含:(冒号)的 所以需要抓包后改下!!

上传成功后,iis会忽略掉:后面的字符,也就是成了cs.asp .但是在接收判断文件后缀还是可以检测的.jpg 绕过了 后缀检测 。

iis截取到的数据是完整的cs.asp:.jpg 但是上传过去的文件应该由于windows不允许带:文件名 所以iis直接去掉了:后面的 这个和%00截断应该不是一样,%00截断是直接截断了后面的 这样的话如果在前面有检测就无法通过检测了。

附上测试代码

 <form action=”.asp?s=ys” method=”post”

 enctype=”multipart/form-data” name=”form1″>

 file:<input name=”FormNameItem” type=”file” />

 <button type=”submit”>提交</button>

 </form>

 <%

 if len(Request(“s”))> then

 Set oFileObj = New UpFileClass

 oFileObj.GetData

 For Each FormNameItem in oFileObj.File

 FileName = oFileObj.File(FormNameItem).FileName

 FileExtName = oFileObj.File(FormNameItem).FileExt

 FileContent = oFileObj.File(FormNameItem).FileData

 oFileObj.File(FormNameItem).SaveToFile server.MapPath(“\”) &

 Response.Write server.MapPath(“\”) & “\.asp:.jpg OK!”

  .Next

 end if

 Dim UpFileStream

 Class UpFileClass

 Dim Form,File,Err

 Private Sub Class_Initialize

 Err = -

 End Sub

 Private Sub Class_Terminate

 ’清除变量及对像 www.2cto.com

 If Err <  Then

 Form.RemoveAll

 Set Form = Nothing

 File.RemoveAll

 Set File = Nothing

 UpFileStream.Close .Set UpFileStream = Nothing

 End If .End Sub

 Public Property Get ErrNum()

 ErrErrNum = Err .End Property

 Public Sub GetData ()

 ’定义变量

 Dim RequestBinData,sSpace,bCrLf,sObj,iObjStart,iObjEnd,tStrea

 Dim iFileSize,sFilePath,sFileType,sFormValue,sFileName

 Dim iFindStart,iFindEnd

 Dim iFormStart,iFormEnd,sFormName

 ’代码开始56.If Request.TotalBytes <  Then ‘如果没有数据

 Err =

 Exit Sub

 End If

 Set Form = CreateObject (“Scripting.Dictionary”)

 Form.CompareMode =

 Set File = CreateObject (“Scripting.Dictionary”)

 File.CompareMode =

 Set tStream = CreateObject (“ADODB.Stream”)

 Set UpFileStream = CreateObject (“ADODB.Stream”)

 UpFileStream.Type =

 UpFileStream.Mode =

 UpFileStream.Open

 dim ReadedBytes,ChunkBytes

 ReadedBytes=

 ChunkBytes=* ’100K分块上传方案

 Do While ReadedBytes < Request.TotalBytes

 UpFileStream.Write Request.BinaryRead(ChunkBytes)

 ReadedBytesReadedBytes = ReadedBytes + ChunkBytes

 If ReadedBytes > Request.TotalBytes Then ReadedBytes = Reque

 Loop

 ’UpFileStream.Write (Request.BinaryRead(Request.TotalBytes))

 UpFileStream.Position =

 RequestBinData=UpFileStream.Read

 iFormEnd = UpFileStream.Size

 bCrLf = ChrB () & ChrB ()

 .’取得每个项目之间的分隔符84.sSpace=Mi

 RequestBinData,bCrLf)-) .iStart=LenB (sSpace)

 iFormStart = iStart+ .’分解项目

 Do

 iObjEnd=InStrB(iFormStart,RequestBinData,bCrLf & bCrLf)+

 tStream.Type =

 tStream.Mode =

 tStream.Open .UpFileStream.Position = iFormStart

 UpFileStream.CopyTo tStream,iObjEnd-iFormStart

 tStream.Position =

 tStream.Type =  .tStream.CharSet = “gb2312″

 sObj = tStream.ReadText

 ’取得表单项目名称100.iFormStart = InStrB (iObjEnd,RequestBinData,sSpace)-

 iFindStart = InStr (,sObj,”name=”"”,1)+6

 iFindEnd = InStr (iFindStart,sObj,”"”",)

 sFormName = Mid (sObj,iFindStart,iFindEnd-iFindStart)

 ’如果是文件105.If InStr (,sObj,”filename=”"”,1) > 0 Then 106.Set oFileObj = new  FileObj_Class

 ’取得文件属性

 iFindStart = InStr (iFindEnd,sObj,”filename=”"”,1)+10

 iFindEnd = InStr (iFindStart,sObj,”"”",)

 sFileName = Mid (sObj,iFindStart,iFindEnd-iFindStart)

 oFileObj.FileName = Mid (sFileName,InStrRev (sFileNam

 oFileObj.FilePath = Left (sFileName,InStrRev (sFileName,

 oFileObj.FileExt = Mid (sFileName,InStrRev (sFileName, “

 iFindStart = InStr (iFindEnd,sObj,”Content-Type: “,)+

 iFindEnd = InStr (iFindStart,sObj,vbCr)

 oFileObj.FileType = Mid (sObj,iFindStart,iFindEnd-iFindSt

 oFileObj.FileStart = iObjEnd

 oFileObj.FileSize = iFormStart -iObjEnd -

 oFileObj.FormName = sFormName

 File.add sFormName,oFileObj

 else

 ’如果是表单项目

 tStream.Close

 tStream.Type =

 tStream.Mode =

 tStream.Open

 UpFileStream.Position = iObjEnd

 UpFileStream.CopyTo tStream,iFormStart-iObjEnd-

 tStream.Position =

 tStream.Type =

 tStream.CharSet = “gb2312″

 sFormValue = tStream.ReadText

 If Form.Exists(sFormName)Then

 Form (sFormName) = Form (sFormName) & “, ” & sForm

 else

 form.Add sFormName,sFormValue

 End If

 End If

 tStream.Close

 iFormStartiFormStart = iFormStart+iStart+

 ’如果到文件尾了就退出

 Loop Until (iFormStart+) >= iFormEnd

 RequestBinData = “”

 Set tStream = Nothing

 Set KS=Nothing

 End Sub

 End Class

 ’—————————————————————

 ’文件属性类

 Class FileObj_Class

 Dim FormName,FileName,FilePath,FileSize,FileType,FileS

 ’保存文件方法154.Public Function SaveToFile (Path)

 ’On Error Resume Next

 Dim oFileStream

 Set oFileStream = CreateObject (“ADODB.Stream”)

 oFileStream.Type =

 oFileStream.Mode =

 oFileStream.Open

 UpFileStream.Position = FileStart

 UpFileStream.CopyTo oFileStream,FileSize

 oFileStream.SaveToFile Path,

 oFileStream.Close

 Set oFileStream = Nothing

 Set KS=Nothing

 End Function

 ’取得文件数据

 Public Function FileData

 UpFileStream.Position = FileStart

 FileData = UpFileStream.Read (FileSize)

 End Function

 End Class

 %>

IIS6.0使用冒号上传漏洞利用的更多相关文章

  1. phpcms v9.6.0任意文件上传漏洞(CVE-2018-14399)

    phpcms v9.6.0任意文件上传漏洞(CVE-2018-14399) 一.漏洞描述 PHPCMS 9.6.0版本中的libs/classes/attachment.class.php文件存在漏洞 ...

  2. Dedecms v5.7包含上传漏洞利用

    Title:Dedecms v5.7包含上传漏洞利用 --2012-09-21 10:16 注册,登录,免邮箱验证. up.htm ---------------------------------- ...

  3. 【代码审计】JTBC(CMS)_PHP_v3.0 任意文件上传漏洞分析

      0x00 环境准备 JTBC(CMS)官网:http://www.jtbc.cn 网站源码版本:JTBC_CMS_PHP(3.0) 企业版 程序源码下载:http://download.jtbc. ...

  4. kindeditor<=4.1.5 文件上传漏洞利用

    kindeditor<=4.1.5 文件上传漏洞 - Kindeditor <=4.1.5 file upload vulnerability and use 漏洞存影响版本:小于等于4. ...

  5. phpcms v9.6.0任意文件上传漏洞

    距离上一次写博客已经过去很长一段时间了,最近也一直在学习,只是并没有分享出来  越来越发现会的东西真的太少了,继续努力吧. 中午的时候遇到了一个站点,看到群里好多人都在搞,自己就也去试了试,拿下来后发 ...

  6. GLPI 0.85.5 上传漏洞分析

    在exp-db上面看到的漏洞,这是原文链接:https://www.exploit-db.com/exploits/38407/ 但是POC给的很简单,这是原来的描述: " The appl ...

  7. 时尚起义开源话题微博系统 v.0.4.5 上传漏洞

    漏洞出现在/action/upload.php文件中 <?php /** ** **By QINIAO **/ !defined('QINIAO_ROOT') && exit(' ...

  8. PHPcms9.6.0任意文件上传漏洞直接getshell 利用教程

    对于PHPcms9.6.0 最新版漏洞,具体利用步骤如下: 首先我们在本地搭建一个php环境,我这里是appserv或者使用phpnow (官网下载地址:http://servkit.org/) (只 ...

  9. 【渗透测试】PHPCMS9.6.0 任意文件上传漏洞+修复方案

    这个漏洞是某司的一位前辈发出来的,这里只是复现一下而已. 原文地址:https://www.t00ls.net/thread-39226-1-1.html 首先我们本地搭建一个phpcms9.6.0的 ...

随机推荐

  1. 控制执行流程之return

    1 .无条件分支的关键词:return, break,continue,它们在程序中表示这个分支无需任何测试也可以发生.今天我们说下return. 2. return 作用:(1)给当前方法返回值:( ...

  2. Mysql学习笔记整理之引擎

    mysql的引擎: myisam引擎 Mysql 5.5之前默认的存储引擎 数据.索引分别存储 (数据物理磁盘---索引物理磁盘) .MYD 存储数据                      表级索 ...

  3. Python学习-列表元组字典操作

    一.列表 列表是Python的基本数据类型之一,它是以 [] 括起来的,内部成员用逗号隔开.里面可以存放各种数据类型. # 例如: list2 = ['jason', 2, (1, 3), ['war ...

  4. 基于python的scrapy环境搭建

    0.1安装python软件 32位机的电脑安装python-3.6.3.exe 64位机的电脑安装python-3.6.3-amd64.exe 0.1.1 python环境搭建 执行安装程序 选择Ad ...

  5. Spring boot 梳理 - SpringApplication

    简单启动方式 public static void main(String[] args) { SpringApplication.run(MySpringConfiguration.class, a ...

  6. SpringBootSecurity学习(14)前后端分离版之 OAuth2.0介绍

    登录总结 前面基本介绍了security的常规用法,同时介绍了JWT和它的一个简单实现,基本上开发中遇到的登录问题都能解决了,即使在分布式开发,或者微服务开发中实现登录也基本没有问题了.securit ...

  7. 有了 CompletableFuture,使得异步编程没有那么难了!

    本文导读: 业务需求场景介绍 技术设计方案思考 Future 设计模式实战 CompletableFuture 模式实战 CompletableFuture 生产建议 CompletableFutur ...

  8. Base64编码有时会默认换行 [转]

    Base64编码有时会默认换行 2013-01-27 20:59 6647人阅读 评论(0) 收藏 举报  分类: Base64 换行 版权声明:本文为博主原创文章,未经博主允许不得转载.       ...

  9. ElasticSearch实战系列三: ElasticSearch的JAVA API使用教程

    前言 在上一篇中介绍了ElasticSearch实战系列二: ElasticSearch的DSL语句使用教程---图文详解,本篇文章就来讲解下 ElasticSearch 6.x官方Java API的 ...

  10. spring5 源码深度解析----- 事务增强器(100%理解事务)

    上一篇文章我们讲解了事务的Advisor是如何注册进Spring容器的,也讲解了Spring是如何将有配置事务的类配置上事务的,实际上也就是用了AOP那一套,也讲解了Advisor,pointcut验 ...