自己搭建IIS找ASP程序漏洞

老師興高采烈：各位菜鳥，“老師輪流做，今天到我家”，現在輪到我給大家講課了，還不趕快歡迎？！
　　眾學生：暈，說的這么輕松，輪到你做老師？憑什么??？
　　老師怒曰：憑什么？哼哼，不給你們點顏色看看你們不知道我可以做老師！小A、小K，看你們兩個的表情，是不是不服??？信不信我現在把你們兩個的個人主頁DDoS了？
　　小A和小K：汗……個人主頁都要DDoS……你狠！服了你還不行？！
　　老師一臉得意：服了我就好，學生如果不服老師我這課還怎么講？好了，現在開始上課！
　　學生D：老師，今天講什么??？
　　“暈，昨天只是記著今天我做老師，居然忘記備課了……”老師暗地里發冷汗，不過老師畢竟見多識廣，難不倒的，“這個嘛，既然我這個做老師的自我感覺良好，當然不怕大家找各種各樣的問題難為我?，F在給你們5分鐘討論一下，今天要怎么難為老師！”
　　學生們討論中……
　　5分鐘過去了，學生F總結了一下討論的結果：老師，現在動易的網站管理系統很不錯，大家都在用這個做自己的網站，功能強大啊。不知道有沒有最新可以利用的漏洞??？
　　老師：嗯，既然大家對動易感興趣，我們就來看看吧。動易出品的三款產品：MyPower、FreePower和PowerEasy都是非常不錯的東東，大家可以用它們非常輕松的完成個人網站、公司網站的制作，發展到現在，動易的產品已經不僅僅是單一的文章管理系統，現在甚至還可以做下載、圖片網站！正是因為功能如此強大，現在用這套系統的人越來越多！比如我們常去的www.77169.com就是用的這個系統。
　　“老師，別說這些了，我們都對這些什么功能啦什么的，不感興趣，我們就想知道可以黑不？”
　　“唉，你們這些學生啊，就知道做壞事……”
　　老師打開講桌上的筆記本電腦，到動易的官方網站www.asp163.net 下載了最新的“動易網站管理系統Ver4.03”，“為了不對別人的網站造成破壞，我們在本機搭建試驗環境進行講解?！?
　　“老師，下載的文件都是asp的，怎么打開??？用記事本嗎？”學生小Z小心翼翼的問。
　　“暈，在我的菜鳥黑客學習班居然還有這樣的學生，算我中大獎了，回頭我就買彩票去”，老師實在無奈啊，居然還問ASP文件怎么打開……
　　“那我就老老實實的教你們了。我們平時在網上看網站，多數是HTML和ASP的頁面，至于HTML的我不解釋了，這個咱們班里的同學都明白，而ASP有些不一樣，它是在遠程的服務器端執行的，比如我們瀏覽微軟網站的一個ASP頁面，那么頁面的一些腳本是在Microsoft的服務器執行的，返回給我們的是HTML形式的結果。用ASP可以輕松的做出動態功能的頁面?！?
　　“那么我們怎么才能瀏覽ASP的網站呢？微軟給了我們簡單易行的方案——用IIS做WEB服務器，默認的就支持ASP，大家可以在控制面板的‘添加/刪除程序’里面選擇‘添加/刪除Windows組件’，然后在‘Internet信息服務’那里選擇，下一步知道完成就好了。完成之后，去‘程序－管理工具－Internet服務管理器’，一般的我們在本地測試可以選擇‘默認WEB站點’，當然也可以自己新建一個站點。下面的是IIS的主界面：
　　
　　選擇‘屬性’，我們有三個地方要設置，1、‘WEB站點’，在‘IP地址’這里選擇你自己電腦的IP；2、‘主目錄’你需要在‘本地路徑’這里選擇你下載下來的文件解壓后的目錄，當然如果你想偷懶，可以把你的ASP文件解壓到系統盤目錄下面的Inetpub下面的wwwroot目錄；3、‘文檔’是負責設置你網站主目錄或者次級目錄的默認顯示文件的，比如你添加一個‘index.asp’那么你的網站就默認打開一個文件夾的時候調用這個文件的內容?！?
　　“我可以設定這個首頁文件是我的名字不？”，小A問“比如設成a.htm或者a.asp？”
　　“當然可以，只要添加這個首頁的文檔就可以了，如果你添加了這兩個，哪個在上面，哪個就先執行，有個優先的順序”老師說。
　　
　　“默認的，我們下載的‘動易網站管理系統Ver4.03’首頁文件是index.asp，我們只要在‘文檔’添加index.asp就可以了。下面我們解壓程序包，把‘免費版’里面的文件拷貝到wwwroot文件夾，當然你也可以專門指定一個文件夾了，安全性更好一些?！?
　　“老師，快說，網站什么時候可以看到??！”
　　“馬上，不要急啊”，老師喝一口茶，潤一下喉嚨，“嗯，把程序釋放到文件夾之后，打開瀏覽器，輸入你的IP地址，還有安裝的引導文件名，比如我就可以輸入：http://192.168.1.9/install.asp，程序提示你輸入網站的名字、版權什么的，只要按照自己的需要填寫然后下一步就可以。記得執行完之后要刪除install.asp啊，否則會被別有用心的人利用的?！?
　　“知道了，老師！然后呢？”一幫小菜用期待的眼神盯著老師。
　　“然后？打開瀏覽器，輸入你的IP，就可以看到網站啦！”
　　“果然可以了??！現在就添加文章去！”小C、小D一臉的興奮。
　　“不過……”老師故意放慢了講話的速度。
　　“不過什么啊老師？難道還不可以運行？”
　　“當然可以運行，不過今天我講這么多主要是想交給大家如何取得這個文章系統的路徑，物理路徑。這個是剛剛發現的漏洞，還沒有告訴別人呢！”
　　眾菜鳥一聽就來了精神，“老師快說！”
　　“嗯，事情是這樣的，現在你們在我們剛才一起做的網站每人注冊一個帳號，然后點發表文章，會出現要你們輸入文章內容的頁面，看到一個要你上傳文件的提示框沒有？”
　　
　　“就在‘瀏覽’和‘上傳’兩個按鈕之間的位置，點鼠標右鍵，查看源代碼，找到下面的幾行：
　　<form action="upfile_article.asp" method="post" name="form1" onSubmit="return check()" enctype="multipart/form-data">
　　<input name="FileName" type="FILE" class="tx1" size="20">
　　改成下面的內容：
　　<form action="http://192.168.1.9/editor/upfile_article.asp" method="post" name="form1" onSubmit="return check()" enctype="multipart/form-data">
　　<input name="FileName" type="FILE" class="tx1" size="20">
　　<input name="FileName" type="FILE" class="tx1" size="20">
　　這樣子然后保存到桌面，格式是htm就可以了?！?
　　“老師，這樣可以做什么??？干嘛添加文章還要這么麻煩改代碼啊，好像是跨站攻擊啊”小菜問。
　　“呵呵，有點像”，老師笑著說“現在我們打開我們剛修改代碼的這個文件，會出現兩個輸入文件的框框：
　　
　　找兩個圖片文件，可以是一個，不是一個也無所謂，然后點上傳，出現了什么？”
　　
　　“哇，物理路徑??！”眾小菜一片歡呼雀躍！
　　“呵呵，我們現在做試驗的動易版本是最新的4.03，大家可以試試別的版本”老師發話?！跋旅婺銈冏杂捎懻?0分鐘，然后給我總結發言?！?
　　10分鐘之后……
　　“好，現在把你們的感受說一下吧，有交流才有進步！”
　　小A：“我先說！就是程序必須是動易……(明擺著是廢話！)”
　　小E：“必須登陸系統，要不沒法上傳文件！”
　　“還有，我的最有見解！inc/upfile_class.asp和upfile_article.asp存在這個漏洞，經過我的測試，凡調用inc/upfile_class.asp的幾個文件upfile_article.asp, upfile_softpic.asp等等都可以成功！”小K大喊。
　　“還有”，一向動作慢半拍的小D說：“要成功，還必須服務器沒有屏蔽Microsoft VBScript 運行時錯誤的提示信息。比如華夏的用這種方法會出現‘處理 URL 時服務器出錯。請與系統管理員聯系?！@個要看管理員對IIS的設置了?！?
　　“好，我們從提示的內容‘此鍵已與該集合的一個元素關聯’可以知道，主要是在/inc/upfile_class.asp這個文件對重復提交的處理不夠好。比如我們同時提交兩個文件的時候，兩個文件的信息同時寫入數據庫，由于程序只設置了上傳一個文件的情況，所以第一個寫入了，第二個必然出錯。從而暴露站點的物理路徑?！?
　　“嗯，同學們做的很好”，老師對本節課的效果感到非常滿意，“同學們，今天學的不錯，今天的作業就是回去測試下動易出品的另外兩套程序，MyPower3.51和FreePower3.62有沒有這個問題！當然，應該有這個問題的不僅僅是動易的程序，這個大家課后自己試驗！下課！同學們再見！”
　　“老師再見！”……

原文轉自：http://www.kjueaiud.com