利用条件:

1.iis版本为6.0 

2.上传文件名不会重命名

利用:

上传一个jpg木马图片 名字为:cs.asp:.jpg 注意是: 默认windows是不允许文件字含:(冒号)的 所以需要抓包后改下!!

上传成功后,iis会忽略掉:后面的字符,也就是成了cs.asp .但是在接收判断文件后缀还是可以检测的.jpg 绕过了 后缀检测 。

iis截取到的数据是完整的cs.asp:.jpg 但是上传过去的文件应该由于windows不允许带:文件名 所以iis直接去掉了:后面的 这个和%00截断应该不是一样,%00截断是直接截断了后面的 这样的话如果在前面有检测就无法通过检测了。

附上测试代码

 <form action=”.asp?s=ys” method=”post”

 enctype=”multipart/form-data” name=”form1″>

 file:<input name=”FormNameItem” type=”file” />

 <button type=”submit”>提交</button>

 </form>

 <%

 if len(Request(“s”))> then

 Set oFileObj = New UpFileClass

 oFileObj.GetData

 For Each FormNameItem in oFileObj.File

 FileName = oFileObj.File(FormNameItem).FileName

 FileExtName = oFileObj.File(FormNameItem).FileExt

 FileContent = oFileObj.File(FormNameItem).FileData

 oFileObj.File(FormNameItem).SaveToFile server.MapPath(“\”) &

 Response.Write server.MapPath(“\”) & “\.asp:.jpg OK!”

  .Next

 end if

 Dim UpFileStream

 Class UpFileClass

 Dim Form,File,Err

 Private Sub Class_Initialize

 Err = -

 End Sub

 Private Sub Class_Terminate

 ’清除变量及对像 www.2cto.com

 If Err <  Then

 Form.RemoveAll

 Set Form = Nothing

 File.RemoveAll

 Set File = Nothing

 UpFileStream.Close .Set UpFileStream = Nothing

 End If .End Sub

 Public Property Get ErrNum()

 ErrErrNum = Err .End Property

 Public Sub GetData ()

 ’定义变量

 Dim RequestBinData,sSpace,bCrLf,sObj,iObjStart,iObjEnd,tStrea

 Dim iFileSize,sFilePath,sFileType,sFormValue,sFileName

 Dim iFindStart,iFindEnd

 Dim iFormStart,iFormEnd,sFormName

 ’代码开始56.If Request.TotalBytes <  Then ‘如果没有数据

 Err =

 Exit Sub

 End If

 Set Form = CreateObject (“Scripting.Dictionary”)

 Form.CompareMode =

 Set File = CreateObject (“Scripting.Dictionary”)

 File.CompareMode =

 Set tStream = CreateObject (“ADODB.Stream”)

 Set UpFileStream = CreateObject (“ADODB.Stream”)

 UpFileStream.Type =

 UpFileStream.Mode =

 UpFileStream.Open

 dim ReadedBytes,ChunkBytes

 ReadedBytes=

 ChunkBytes=* ’100K分块上传方案

 Do While ReadedBytes < Request.TotalBytes

 UpFileStream.Write Request.BinaryRead(ChunkBytes)

 ReadedBytesReadedBytes = ReadedBytes + ChunkBytes

 If ReadedBytes > Request.TotalBytes Then ReadedBytes = Reque

 Loop

 ’UpFileStream.Write (Request.BinaryRead(Request.TotalBytes))

 UpFileStream.Position =

 RequestBinData=UpFileStream.Read

 iFormEnd = UpFileStream.Size

 bCrLf = ChrB () & ChrB ()

 .’取得每个项目之间的分隔符84.sSpace=Mi

 RequestBinData,bCrLf)-) .iStart=LenB (sSpace)

 iFormStart = iStart+ .’分解项目

 Do

 iObjEnd=InStrB(iFormStart,RequestBinData,bCrLf & bCrLf)+

 tStream.Type =

 tStream.Mode =

 tStream.Open .UpFileStream.Position = iFormStart

 UpFileStream.CopyTo tStream,iObjEnd-iFormStart

 tStream.Position =

 tStream.Type =  .tStream.CharSet = “gb2312″

 sObj = tStream.ReadText

 ’取得表单项目名称100.iFormStart = InStrB (iObjEnd,RequestBinData,sSpace)-

 iFindStart = InStr (,sObj,”name=”"”,1)+6

 iFindEnd = InStr (iFindStart,sObj,”"”",)

 sFormName = Mid (sObj,iFindStart,iFindEnd-iFindStart)

 ’如果是文件105.If InStr (,sObj,”filename=”"”,1) > 0 Then 106.Set oFileObj = new  FileObj_Class

 ’取得文件属性

 iFindStart = InStr (iFindEnd,sObj,”filename=”"”,1)+10

 iFindEnd = InStr (iFindStart,sObj,”"”",)

 sFileName = Mid (sObj,iFindStart,iFindEnd-iFindStart)

 oFileObj.FileName = Mid (sFileName,InStrRev (sFileNam

 oFileObj.FilePath = Left (sFileName,InStrRev (sFileName,

 oFileObj.FileExt = Mid (sFileName,InStrRev (sFileName, “

 iFindStart = InStr (iFindEnd,sObj,”Content-Type: “,)+

 iFindEnd = InStr (iFindStart,sObj,vbCr)

 oFileObj.FileType = Mid (sObj,iFindStart,iFindEnd-iFindSt

 oFileObj.FileStart = iObjEnd

 oFileObj.FileSize = iFormStart -iObjEnd -

 oFileObj.FormName = sFormName

 File.add sFormName,oFileObj

 else

 ’如果是表单项目

 tStream.Close

 tStream.Type =

 tStream.Mode =

 tStream.Open

 UpFileStream.Position = iObjEnd

 UpFileStream.CopyTo tStream,iFormStart-iObjEnd-

 tStream.Position =

 tStream.Type =

 tStream.CharSet = “gb2312″

 sFormValue = tStream.ReadText

 If Form.Exists(sFormName)Then

 Form (sFormName) = Form (sFormName) & “, ” & sForm

 else

 form.Add sFormName,sFormValue

 End If

 End If

 tStream.Close

 iFormStartiFormStart = iFormStart+iStart+

 ’如果到文件尾了就退出

 Loop Until (iFormStart+) >= iFormEnd

 RequestBinData = “”

 Set tStream = Nothing

 Set KS=Nothing

 End Sub

 End Class

 ’—————————————————————

 ’文件属性类

 Class FileObj_Class

 Dim FormName,FileName,FilePath,FileSize,FileType,FileS

 ’保存文件方法154.Public Function SaveToFile (Path)

 ’On Error Resume Next

 Dim oFileStream

 Set oFileStream = CreateObject (“ADODB.Stream”)

 oFileStream.Type =

 oFileStream.Mode =

 oFileStream.Open

 UpFileStream.Position = FileStart

 UpFileStream.CopyTo oFileStream,FileSize

 oFileStream.SaveToFile Path,

 oFileStream.Close

 Set oFileStream = Nothing

 Set KS=Nothing

 End Function

 ’取得文件数据

 Public Function FileData

 UpFileStream.Position = FileStart

 FileData = UpFileStream.Read (FileSize)

 End Function

 End Class

 %>

IIS6.0使用冒号上传漏洞利用的更多相关文章

  1. phpcms v9.6.0任意文件上传漏洞(CVE-2018-14399)

    phpcms v9.6.0任意文件上传漏洞(CVE-2018-14399) 一.漏洞描述 PHPCMS 9.6.0版本中的libs/classes/attachment.class.php文件存在漏洞 ...

  2. Dedecms v5.7包含上传漏洞利用

    Title:Dedecms v5.7包含上传漏洞利用 --2012-09-21 10:16 注册,登录,免邮箱验证. up.htm ---------------------------------- ...

  3. 【代码审计】JTBC(CMS)_PHP_v3.0 任意文件上传漏洞分析

      0x00 环境准备 JTBC(CMS)官网:http://www.jtbc.cn 网站源码版本:JTBC_CMS_PHP(3.0) 企业版 程序源码下载:http://download.jtbc. ...

  4. kindeditor<=4.1.5 文件上传漏洞利用

    kindeditor<=4.1.5 文件上传漏洞 - Kindeditor <=4.1.5 file upload vulnerability and use 漏洞存影响版本:小于等于4. ...

  5. phpcms v9.6.0任意文件上传漏洞

    距离上一次写博客已经过去很长一段时间了,最近也一直在学习,只是并没有分享出来  越来越发现会的东西真的太少了,继续努力吧. 中午的时候遇到了一个站点,看到群里好多人都在搞,自己就也去试了试,拿下来后发 ...

  6. GLPI 0.85.5 上传漏洞分析

    在exp-db上面看到的漏洞,这是原文链接:https://www.exploit-db.com/exploits/38407/ 但是POC给的很简单,这是原来的描述: " The appl ...

  7. 时尚起义开源话题微博系统 v.0.4.5 上传漏洞

    漏洞出现在/action/upload.php文件中 <?php /** ** **By QINIAO **/ !defined('QINIAO_ROOT') && exit(' ...

  8. PHPcms9.6.0任意文件上传漏洞直接getshell 利用教程

    对于PHPcms9.6.0 最新版漏洞,具体利用步骤如下: 首先我们在本地搭建一个php环境,我这里是appserv或者使用phpnow (官网下载地址:http://servkit.org/) (只 ...

  9. 【渗透测试】PHPCMS9.6.0 任意文件上传漏洞+修复方案

    这个漏洞是某司的一位前辈发出来的,这里只是复现一下而已. 原文地址:https://www.t00ls.net/thread-39226-1-1.html 首先我们本地搭建一个phpcms9.6.0的 ...

随机推荐

  1. MOOC C++笔记(五):继承

    第五周:继承 继承和派生的基本概念 继承:在定义一个新的类B时,如果该类与某个个已有的类A相似(指的是B拥有A的全部特点),那么就可以把A作为一个基类,而把B作为基类的一个派生类(也称子类). 派生类 ...

  2. GS-PON数据库分区列范围查询优化案例

    查询慢的SQL: with p as( select np.nodecode , np.nodename, d.deviceid, d.devicename, d.loopaddress, p.res ...

  3. 黑苹果之DELL台式机安装Mac OS X 10.13.6版本操作系统

    由于本人所在的公司一般都是DELL的品牌台式机,所以以DELL台式机做小白鼠.记得在2012年的时候,在当时的那家公司为了学习自学IOS开发的Objective-C开发语言的时候,由于囊中羞涩买不起m ...

  4. C#控件及常用属性

    1.窗体(Form) 1.常用属性 (1)Name 属性:用来获取或设置窗体的名称,在应用程序中可通过Name 属性来引用窗体. (2) WindowState 属性: 用来获取或设置窗体的窗口状态. ...

  5. hadoop之mapreduce详解(优化篇)

    一.概述 优化前我们需要知道hadoop适合干什么活,适合什么场景,在工作中,我们要知道业务是怎样的,能才结合平台资源达到最有优化.除了这些我们当然还要知道mapreduce的执行过程,比如从文件的读 ...

  6. Nodejs 发送邮件 激活邮箱

    1. 安装nodemailer npm install nodemailer 项目中引入nodemailer var nodemailer = require('nodemailer'); 2.QQ邮 ...

  7. Android self_adaption of screen

    以下是Demo首页的预览图 demo下载:http://www.eoeandroid.com/forum.php?mod=attachment&aid=NjE0Njh8ZTIyZDA2M2N8 ...

  8. 解决使用MUI时mui-slider-item高度不一致的自适应问题

    今天在写一个MUI项目的时候,发现使用slider时,最高的mui-slider-item会把mui-slider-group撑开,而其他的mui-slider-item下面会出现很大的空白. 百度了 ...

  9. opencv之为图像添加边界

    我们经常会有对图像边缘做扩展的需求.比如 希望卷积后得到的矩阵大小不变 希望改变图像大小,但是不改变宽高比 opencv实现 opencv中使用copyMakeBorder()来完成这一功能 api ...

  10. MongoDB 学习笔记之 DBRef

    DBRef: MongoDB建模有两种方式,一种是内嵌(Embed),另一种是连接(Link).内嵌比较好理解,就是字段内容是个数组,数组内再包含文档,而我们今天介绍的是另一种,称为链接DBRef.由 ...