### 简要描述:
很有意思的地方。ascx文件有多少人关注过可以做这事情的?想必压根没人会关注他!接着上一发http://www.wooyun.org/bugs/wooyun-2014-061699 继续!
### 详细说明:
先说明一下,此漏洞产生还是在后台,如果真要直接搞shell的话,估计还是要配合我上一发漏洞一起使用。
但是别灰心,就算此问题是后台产生,也有他的“教育”意义
直入正题!
找到专题管理——增加专题
[<img src="https://images.seebug.org/upload/201405/211623183bcae681267340e10812ac41650e038b.png" alt="image026.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/211623183bcae681267340e10812ac41650e038b.png)
这里有一个所谓的生成路径,看起来好像可以生成文件?先看看可以写个一句话吗:
[<img src="https://images.seebug.org/upload/201405/211623356dc22dc54cbb562529adc8b959567686.png" alt="image028.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/211623356dc22dc54cbb562529adc8b959567686.png)
按上面应该是在zt这个目录下,点击先提交:
专题的路径是http://www.youlu888.com/e/zt/
访问看看是否有生成asp.aspx:
[<img src="https://images.seebug.org/upload/201405/2116235632989cba1a8064223dcac5530fad2c66.png" alt="image030.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/2116235632989cba1a8064223dcac5530fad2c66.png)
似乎失败了(但是神奇的是官方demo还可以生成,估计demo没更新),但是打开专题看看:
[<img src="https://images.seebug.org/upload/201405/211624198b03a8268dce363448ab23f3c2e6e9db.png" alt="image031.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/211624198b03a8268dce363448ab23f3c2e6e9db.png)
[<img src="https://images.seebug.org/upload/201405/211624324106654cf0dbc96cac9c6b89d893d418.png" alt="image032.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/211624324106654cf0dbc96cac9c6b89d893d418.png)
看见木有?相对路径出来了,是写到ascx文件中的,既然提示错误了,那肯定就是一句话在这无法使用了。
既然如此,就写出符合ascx的代码,写个shell就得了!(注意,ascx文件是无法直接访问的,必须间接调用)
先了解下什么是ascx文件:
一句话说,ascx就是用户自定义的控件,比较简便,利于代码重用。
微软的一篇ascx文件相关文章:
http://msdn.microsoft.com/zh-CN/zh/library/26db8ysc(v=vs.80).aspx
上文包含有一些解释和测试代码。其它不多说。
我自己改了点代码,给大家赏玩:
```
None
```
以上只是部分代码,但是代码混淆了,将就看看吧!
最后附上官网截图:
[<img src="https://images.seebug.org/upload/201405/21162734dc3805bfd5a76bcca482b14521e5285f.png" alt="image042.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/21162734dc3805bfd5a76bcca482b14521e5285f.png)
是不是可以加后门了?
哈哈我肯定不做那事情,放心。
另外官方demo版本似乎较低?生成专题页面的漏洞在我下的版本默认情况下似乎是木有了的,为何在官方却还可以写?http://demo.pageadmin.net/zt/asp.aspx 生成的页面。
### 漏洞证明:
嗯,我们回头想想,延伸一下,类似这种ascx后门的意义
比如我截图几个常见的扫描webshell的工具:
暗组的,默认只支持
*.asp,*.asa,*.aspx,*.asmx,*.ashx,*.cer,*.cdx,*.idc,*.inc,*.php,*.php3,*.php4,*.pshtml,*.jsp,*;*,*.lbi
[<img src="https://images.seebug.org/upload/201405/211628021be934964d02ea596125e6beede066b4.png" alt="image044.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/211628021be934964d02ea596125e6beede066b4.png)
看看查杀结果先:
[<img src="https://images.seebug.org/upload/201405/21162823981dd130494ca38763e4c0f7d9fe446f.png" alt="image045.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/21162823981dd130494ca38763e4c0f7d9fe446f.png)
且不管误报,我们用自定义控件生成的一句话index.aspx.aspx他是查出来的,但是由于默认规则没有ascx,所以并没有扫出我们的小小高级后门呵呵呵呵。
再来看看啊D的扫描结果:
[<img src="https://images.seebug.org/upload/201405/211628432f3e6d66179d2cfb511723679f9b60b5.png" alt="image047.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/211628432f3e6d66179d2cfb511723679f9b60b5.png)
检测类型已经是全部了……
实际上ascx类型在一般的情况下确实是会被忽略,但是在这里如果管理员不注意的话,这可是一个非常不错的后门啊!今天删了明天还会有。
暂无评论