文件下载漏洞
漏洞代码:
<% function download(f,n) on error resume next Set S=CreateObject("Adodb.Stream") S.Mode=3 S.Type=1 S.Open S.LoadFromFile(f) if Err.Number>0 then Reaponse.status="404" else Response.ContentType="application/octet-stream" Response.AddHeader "Content-Disposition:","Attachment;filename="&n Range=Mid(Request.ServerVariables("HTTP_RANGE"),7) if Range="" then Response.BinaryWrite(S.Read) else S.Postion=Clng(Split(Range,"-")(0)) Response.BinaryWrite(S.Read) end if End if End function dim filename filename=request("filename") filename=filename&".asp" call download(server.MapPath(filename),filename) %>
在 MapPath 的 Path 参数中不允许字符 '..',需要启用父路径(IIS6.0出于安全考虑,这一选项默认是关闭的。)
漏洞利用:
漏洞修复:
如果存在.. 就结束脚本,禁止跨目录进行操作
If InStr(filename,"..")>0 Then Response.write "禁止跨目录操作!" response.end End IF
错误处理1:
filename=Replace(filename, "../", "") '替换../为空 filename=Replace(filename, "./", "")
代码对../和./进行过滤用来防止目录跳转,但可以通过构造参数饶过检测.由于检测替换只进行一次可以使用....//代替上级目录,程序替换后....//变成../
攻击代码示例:filename=.....///sql.asp
错误处理2:
If InStr(filename,"../")>0 Then Response.write "禁止跨目录操作!" response.end End IF
代码对../进行检测,但是忽略了对..\的情况,在windows下,..\也可实现跨目录。
攻击代码示例:filename=..\sql.asp
