|
|
这个漏洞可以很鸡肋,也可以很致命,关键看你怎么利用!
此漏洞存在于Example\NewsSystem目录下的delete.asp文件中,这是ewebeditor的测试页面,无须登陆可以直接进入,看这些代码:
' 把带"|"的字符串转为数组 - Dim aSavePathFileName
- aSavePathFileName = Split(sSavePathFileName, "|")
复制代码 【注:此代码当前贴于 http://bbs.xdadmin.com】
' 删除新闻相关的文件,从文件夹中 - Dim i
- For i = 0 To UBound(aSavePathFileName)
复制代码 【注:此代码当前贴于 http://bbs.xdadmin.com】
' 按路径文件名删除文件 - Call DoDelFile(aSavePathFileName(i))
- Next
复制代码 【注:此代码当前贴于 http://bbs.xdadmin.com】
而aSavePathFileName是前面从数据库取出来的: - sSavePathFileName = oRs("D_SavePathFileName")
复制代码 【注:此代码当前贴于 http://bbs.xdadmin.com】
看看D_SavePathFileName是怎么添加到数据库里的,在addsave.asp(modifysave.asp)里: - sSavePathFileName = GetSafeStr(Request.Form("d_savepathfilename"))
- oRs("D_SavePathFileName") = sSavePathFileName
复制代码 【注:此代码当前贴于 http://bbs.xdadmin.com】
居然过滤了,是GetSafeStr函数,再看看这个函数,在Startup.asp里: - Function GetSafeStr(str)
- GetSafeStr = Replace(Replace(Replace(Trim(str), "'", ""), Chr(34), ""), ";", "")
- End Function
复制代码 【注:此代码当前贴于 http://bbs.xdadmin.com】
无语,这不是过滤字符型注入的函数么?放这里什么用也没有啊!既然路径没有过滤,那就可以直接定义了,构造一个提交页面,其中d_savepathfilename自己任意赋值(要删除多个文件,用|隔开即可)。试试../../eWebEditor.asp,提交后删除该新闻,于是主目录下的eWebEditor.asp不见了! |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡