关于Oblog 2.52 help.asp漏洞的修补问题

这是一件很有意思的事情。

OBlog是一套基于asp的Blog系统，目前的版本是2.52吧。

前些日子，出现了个help.asp文件漏洞，

可以查看任意文件的源文件，包括asp文件，后果自然是严重的。


现在，这个问题官方已经修补了，修改后的关键代码如下：

<%
fname=trim(request("file"))
fname=lcase(fname)
fname=replace(fname,"asp","")
if fname="" then
fname="help/h_sysmain.htm"
end if
if right(fname,4)=".htm" then
show_help="当前位置：<a href='index.asp'>首页</a>→blog使用帮助<hr noshade>"
show_help=show_help&adodb_loadfile(fname)
show=replace(show,"$show_list$",show_help)
response.Write show
call bottom()
else
response.Write("输入文件不正确")
end if
%>


昨天某个QQ群里，一个用户突发奇想，说是修补后的上面这段代码依然有问题。

下面来看看他的分析思路：

修补的代码主要是两方面，一个是替换掉所有的asp字符串，防止查看asp文件，二是只有后缀是htm的文件才能用。

首先，看看替换asp的代码：

fname=replace(fname,"asp","")

所以如果访问help.asp?file=conn.asp的时候，就变成了help.asp?file=conn.了

那么如果我们访问help.asp?file=conn.aaspsp呢，经过替换以后就变成了help.asp?file=conn.asp了。

所以，这个替换asp的保护措施不是很可靠的，还是可以绕过去的。


那么，再看第二点，就是怎么绕过后缀是.htm的检查

他的思路是这样的：

前段时间不是有个上传漏洞吗，我们一般都是先抓包，然后修改数据，

构造文件名，如a.asp%00.gif，

这样，上传程序还会以为这就是gif文件，而实际保存的时候只保存成a.asp了。

那么在这里，不是也可以吗？

构造一个conn.asp%00.htm的文件名，这样就能够欺骗过fname的检测，

然后在adodb_loadfile(fname)函数里，真正打开的是conn.asp文件，

这样就达到了目的。



从他的思路来看，还是比较合乎逻辑的，

而且，他分析的第一步，就是绕过对asp的检查也是正确的

只是第二步，他的理解还是有误的。

好多人知道上传漏洞，可是到底什么是上传漏洞，

好多人就不清楚了。

而且在asp中，和php,perl里面又有些不同。

具体可以参考一下这个文档，

http://security-assessment.com/Papers/0x00_vs_ASP_File_Uploads.pdf

相信对大家理解上传漏洞还是比较有帮助的。