利用条件:

1.iis版本为6.0 

2.上传文件名不会重命名

利用:

上传一个jpg木马图片 名字为:cs.asp:.jpg 注意是: 默认windows是不允许文件字含:(冒号)的 所以需要抓包后改下!!

上传成功后,iis会忽略掉:后面的字符,也就是成了cs.asp .但是在接收判断文件后缀还是可以检测的.jpg 绕过了 后缀检测 。

iis截取到的数据是完整的cs.asp:.jpg 但是上传过去的文件应该由于windows不允许带:文件名 所以iis直接去掉了:后面的 这个和%00截断应该不是一样,%00截断是直接截断了后面的 这样的话如果在前面有检测就无法通过检测了。

附上测试代码

 <form action=”.asp?s=ys” method=”post”

 enctype=”multipart/form-data” name=”form1″>

 file:<input name=”FormNameItem” type=”file” />

 <button type=”submit”>提交</button>

 </form>

 <%

 if len(Request(“s”))> then

 Set oFileObj = New UpFileClass

 oFileObj.GetData

 For Each FormNameItem in oFileObj.File

 FileName = oFileObj.File(FormNameItem).FileName

 FileExtName = oFileObj.File(FormNameItem).FileExt

 FileContent = oFileObj.File(FormNameItem).FileData

 oFileObj.File(FormNameItem).SaveToFile server.MapPath(“\”) &

 Response.Write server.MapPath(“\”) & “\.asp:.jpg OK!”

  .Next

 end if

 Dim UpFileStream

 Class UpFileClass

 Dim Form,File,Err

 Private Sub Class_Initialize

 Err = -

 End Sub

 Private Sub Class_Terminate

 ’清除变量及对像 www.2cto.com

 If Err <  Then

 Form.RemoveAll

 Set Form = Nothing

 File.RemoveAll

 Set File = Nothing

 UpFileStream.Close .Set UpFileStream = Nothing

 End If .End Sub

 Public Property Get ErrNum()

 ErrErrNum = Err .End Property

 Public Sub GetData ()

 ’定义变量

 Dim RequestBinData,sSpace,bCrLf,sObj,iObjStart,iObjEnd,tStrea

 Dim iFileSize,sFilePath,sFileType,sFormValue,sFileName

 Dim iFindStart,iFindEnd

 Dim iFormStart,iFormEnd,sFormName

 ’代码开始56.If Request.TotalBytes <  Then ‘如果没有数据

 Err =

 Exit Sub

 End If

 Set Form = CreateObject (“Scripting.Dictionary”)

 Form.CompareMode =

 Set File = CreateObject (“Scripting.Dictionary”)

 File.CompareMode =

 Set tStream = CreateObject (“ADODB.Stream”)

 Set UpFileStream = CreateObject (“ADODB.Stream”)

 UpFileStream.Type =

 UpFileStream.Mode =

 UpFileStream.Open

 dim ReadedBytes,ChunkBytes

 ReadedBytes=

 ChunkBytes=* ’100K分块上传方案

 Do While ReadedBytes < Request.TotalBytes

 UpFileStream.Write Request.BinaryRead(ChunkBytes)

 ReadedBytesReadedBytes = ReadedBytes + ChunkBytes

 If ReadedBytes > Request.TotalBytes Then ReadedBytes = Reque

 Loop

 ’UpFileStream.Write (Request.BinaryRead(Request.TotalBytes))

 UpFileStream.Position =

 RequestBinData=UpFileStream.Read

 iFormEnd = UpFileStream.Size

 bCrLf = ChrB () & ChrB ()

 .’取得每个项目之间的分隔符84.sSpace=Mi

 RequestBinData,bCrLf)-) .iStart=LenB (sSpace)

 iFormStart = iStart+ .’分解项目

 Do

 iObjEnd=InStrB(iFormStart,RequestBinData,bCrLf & bCrLf)+

 tStream.Type =

 tStream.Mode =

 tStream.Open .UpFileStream.Position = iFormStart

 UpFileStream.CopyTo tStream,iObjEnd-iFormStart

 tStream.Position =

 tStream.Type =  .tStream.CharSet = “gb2312″

 sObj = tStream.ReadText

 ’取得表单项目名称100.iFormStart = InStrB (iObjEnd,RequestBinData,sSpace)-

 iFindStart = InStr (,sObj,”name=”"”,1)+6

 iFindEnd = InStr (iFindStart,sObj,”"”",)

 sFormName = Mid (sObj,iFindStart,iFindEnd-iFindStart)

 ’如果是文件105.If InStr (,sObj,”filename=”"”,1) > 0 Then 106.Set oFileObj = new  FileObj_Class

 ’取得文件属性

 iFindStart = InStr (iFindEnd,sObj,”filename=”"”,1)+10

 iFindEnd = InStr (iFindStart,sObj,”"”",)

 sFileName = Mid (sObj,iFindStart,iFindEnd-iFindStart)

 oFileObj.FileName = Mid (sFileName,InStrRev (sFileNam

 oFileObj.FilePath = Left (sFileName,InStrRev (sFileName,

 oFileObj.FileExt = Mid (sFileName,InStrRev (sFileName, “

 iFindStart = InStr (iFindEnd,sObj,”Content-Type: “,)+

 iFindEnd = InStr (iFindStart,sObj,vbCr)

 oFileObj.FileType = Mid (sObj,iFindStart,iFindEnd-iFindSt

 oFileObj.FileStart = iObjEnd

 oFileObj.FileSize = iFormStart -iObjEnd -

 oFileObj.FormName = sFormName

 File.add sFormName,oFileObj

 else

 ’如果是表单项目

 tStream.Close

 tStream.Type =

 tStream.Mode =

 tStream.Open

 UpFileStream.Position = iObjEnd

 UpFileStream.CopyTo tStream,iFormStart-iObjEnd-

 tStream.Position =

 tStream.Type =

 tStream.CharSet = “gb2312″

 sFormValue = tStream.ReadText

 If Form.Exists(sFormName)Then

 Form (sFormName) = Form (sFormName) & “, ” & sForm

 else

 form.Add sFormName,sFormValue

 End If

 End If

 tStream.Close

 iFormStartiFormStart = iFormStart+iStart+

 ’如果到文件尾了就退出

 Loop Until (iFormStart+) >= iFormEnd

 RequestBinData = “”

 Set tStream = Nothing

 Set KS=Nothing

 End Sub

 End Class

 ’—————————————————————

 ’文件属性类

 Class FileObj_Class

 Dim FormName,FileName,FilePath,FileSize,FileType,FileS

 ’保存文件方法154.Public Function SaveToFile (Path)

 ’On Error Resume Next

 Dim oFileStream

 Set oFileStream = CreateObject (“ADODB.Stream”)

 oFileStream.Type =

 oFileStream.Mode =

 oFileStream.Open

 UpFileStream.Position = FileStart

 UpFileStream.CopyTo oFileStream,FileSize

 oFileStream.SaveToFile Path,

 oFileStream.Close

 Set oFileStream = Nothing

 Set KS=Nothing

 End Function

 ’取得文件数据

 Public Function FileData

 UpFileStream.Position = FileStart

 FileData = UpFileStream.Read (FileSize)

 End Function

 End Class

 %>

IIS6.0使用冒号上传漏洞利用的更多相关文章

  1. phpcms v9.6.0任意文件上传漏洞(CVE-2018-14399)

    phpcms v9.6.0任意文件上传漏洞(CVE-2018-14399) 一.漏洞描述 PHPCMS 9.6.0版本中的libs/classes/attachment.class.php文件存在漏洞 ...

  2. Dedecms v5.7包含上传漏洞利用

    Title:Dedecms v5.7包含上传漏洞利用 --2012-09-21 10:16 注册,登录,免邮箱验证. up.htm ---------------------------------- ...

  3. 【代码审计】JTBC(CMS)_PHP_v3.0 任意文件上传漏洞分析

      0x00 环境准备 JTBC(CMS)官网:http://www.jtbc.cn 网站源码版本:JTBC_CMS_PHP(3.0) 企业版 程序源码下载:http://download.jtbc. ...

  4. kindeditor<=4.1.5 文件上传漏洞利用

    kindeditor<=4.1.5 文件上传漏洞 - Kindeditor <=4.1.5 file upload vulnerability and use 漏洞存影响版本:小于等于4. ...

  5. phpcms v9.6.0任意文件上传漏洞

    距离上一次写博客已经过去很长一段时间了,最近也一直在学习,只是并没有分享出来  越来越发现会的东西真的太少了,继续努力吧. 中午的时候遇到了一个站点,看到群里好多人都在搞,自己就也去试了试,拿下来后发 ...

  6. GLPI 0.85.5 上传漏洞分析

    在exp-db上面看到的漏洞,这是原文链接:https://www.exploit-db.com/exploits/38407/ 但是POC给的很简单,这是原来的描述: " The appl ...

  7. 时尚起义开源话题微博系统 v.0.4.5 上传漏洞

    漏洞出现在/action/upload.php文件中 <?php /** ** **By QINIAO **/ !defined('QINIAO_ROOT') && exit(' ...

  8. PHPcms9.6.0任意文件上传漏洞直接getshell 利用教程

    对于PHPcms9.6.0 最新版漏洞,具体利用步骤如下: 首先我们在本地搭建一个php环境,我这里是appserv或者使用phpnow (官网下载地址:http://servkit.org/) (只 ...

  9. 【渗透测试】PHPCMS9.6.0 任意文件上传漏洞+修复方案

    这个漏洞是某司的一位前辈发出来的,这里只是复现一下而已. 原文地址:https://www.t00ls.net/thread-39226-1-1.html 首先我们本地搭建一个phpcms9.6.0的 ...

随机推荐

  1. Xshell无法连接到虚拟机Linux系统(桥接方式)

    一.  查看主机上网网卡网络配置信息 1.  查看本机所用网卡名称(适用于win10系统) 操作步骤: 1)  状态栏右键“WiFi连接图标” 2)  点击“打开“网络和Internet”设置” 3) ...

  2. 32 (OC)* keyChain的本质

    1:它是一个sqlite数据库,其保存的所有数据都是加密过的. 2:Keychain是加密规则(key)的集合.每个规则必须含有以下三个要素:认证算法.认证密钥(加密字符串).规则的时间. 3:key ...

  3. [STL] Implement "vector", ”deque“ and "list"

    vector “可增的”数组 vector是一块连续分配的内存,从数据安排的角度来讲,和数组极其相似. 不同的地方就是: (1) 数组是静态分配空间,一旦分配了空间的大小,就不可再改变了: (2) v ...

  4. 极光推送JPush

    推送ios以及android信息,简单的基于jpush v2带IMEI的推送实现. maven: <dependency> <groupId>cn.jpush.api</ ...

  5. 浏览器兼容性知识&测试计划&测试报告

    浏览器兼容性知识&测试计划&测试报告 浏览器兼容性问题:网页或网站兼容性问题,因为不同浏览器使用内核及所支持的HTML(标准通用标记语言下的一个应用)等网页语言标准不同:以及用户客户端 ...

  6. linux初学者小记

    a开头的小命令 alias命令 # echo=' - - - ' > /sys/class/scsi_host/host0/scan这条命令是咱们在给虚拟机装了一块新的硬盘后,在不关机的前提下扫 ...

  7. idea创建javaweb原生项目

    使用idea创建javaweb项目 idea还是写框架项目比较爽,原生的javaweb项目不是特别方便,这篇文章就是记录一下创建的过程 图较多注意流量 选择创建web项目 配置tomcat服务器 配置 ...

  8. Linux6.x 更换国内比较快的yum源-通用版

    ----------更换国内比较快的yum源----------- ----------163--------- cd /etc/yum.repos.d mv CentOS-Base.repo Cen ...

  9. layui 上传图片回显并点击放大实现

    1.页面代码布局 <div class="layui-col-xs12 form-group"> <div class="layui-col-xs6&q ...

  10. echarts使用——柱状图

    开发中,做报表统计的时候,很容易用到echarts实现折线图.饼状图.柱状图的绘制,使用echarts插件很简单,官网有教程实例,但主要是这些图需要的数据格式的转换. 我的柱状图实现效果: 第一部分 ...