### 简要描述: 很有意思的地方。ascx文件有多少人关注过可以做这事情的?想必压根没人会关注他!接着上一发http://www.wooyun.org/bugs/wooyun-2014-061699 继续! ### 详细说明: 先说明一下,此漏洞产生还是在后台,如果真要直接搞shell的话,估计还是要配合我上一发漏洞一起使用。 但是别灰心,就算此问题是后台产生,也有他的“教育”意义 直入正题! 找到专题管理——增加专题 [<img src="https://images.seebug.org/upload/201405/211623183bcae681267340e10812ac41650e038b.png" alt="image026.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/211623183bcae681267340e10812ac41650e038b.png) 这里有一个所谓的生成路径,看起来好像可以生成文件?先看看可以写个一句话吗: [<img src="https://images.seebug.org/upload/201405/211623356dc22dc54cbb562529adc8b959567686.png" alt="image028.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/211623356dc22dc54cbb562529adc8b959567686.png) 按上面应该是在zt这个目录下,点击先提交: 专题的路径是http://www.youlu888.com/e/zt/ 访问看看是否有生成asp.aspx: [<img src="https://images.seebug.org/upload/201405/2116235632989cba1a8064223dcac5530fad2c66.png" alt="image030.png" width="600"...
### 简要描述: 很有意思的地方。ascx文件有多少人关注过可以做这事情的?想必压根没人会关注他!接着上一发http://www.wooyun.org/bugs/wooyun-2014-061699 继续! ### 详细说明: 先说明一下,此漏洞产生还是在后台,如果真要直接搞shell的话,估计还是要配合我上一发漏洞一起使用。 但是别灰心,就算此问题是后台产生,也有他的“教育”意义 直入正题! 找到专题管理——增加专题 [<img src="https://images.seebug.org/upload/201405/211623183bcae681267340e10812ac41650e038b.png" alt="image026.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/211623183bcae681267340e10812ac41650e038b.png) 这里有一个所谓的生成路径,看起来好像可以生成文件?先看看可以写个一句话吗: [<img src="https://images.seebug.org/upload/201405/211623356dc22dc54cbb562529adc8b959567686.png" alt="image028.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/211623356dc22dc54cbb562529adc8b959567686.png) 按上面应该是在zt这个目录下,点击先提交: 专题的路径是http://www.youlu888.com/e/zt/ 访问看看是否有生成asp.aspx: [<img src="https://images.seebug.org/upload/201405/2116235632989cba1a8064223dcac5530fad2c66.png" alt="image030.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/2116235632989cba1a8064223dcac5530fad2c66.png) 似乎失败了(但是神奇的是官方demo还可以生成,估计demo没更新),但是打开专题看看: [<img src="https://images.seebug.org/upload/201405/211624198b03a8268dce363448ab23f3c2e6e9db.png" alt="image031.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/211624198b03a8268dce363448ab23f3c2e6e9db.png) [<img src="https://images.seebug.org/upload/201405/211624324106654cf0dbc96cac9c6b89d893d418.png" alt="image032.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/211624324106654cf0dbc96cac9c6b89d893d418.png) 看见木有?相对路径出来了,是写到ascx文件中的,既然提示错误了,那肯定就是一句话在这无法使用了。 既然如此,就写出符合ascx的代码,写个shell就得了!(注意,ascx文件是无法直接访问的,必须间接调用) 先了解下什么是ascx文件: 一句话说,ascx就是用户自定义的控件,比较简便,利于代码重用。 微软的一篇ascx文件相关文章: http://msdn.microsoft.com/zh-CN/zh/library/26db8ysc(v=vs.80).aspx 上文包含有一些解释和测试代码。其它不多说。 我自己改了点代码,给大家赏玩: ``` None ``` 以上只是部分代码,但是代码混淆了,将就看看吧! 最后附上官网截图: [<img src="https://images.seebug.org/upload/201405/21162734dc3805bfd5a76bcca482b14521e5285f.png" alt="image042.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/21162734dc3805bfd5a76bcca482b14521e5285f.png) 是不是可以加后门了? 哈哈我肯定不做那事情,放心。 另外官方demo版本似乎较低?生成专题页面的漏洞在我下的版本默认情况下似乎是木有了的,为何在官方却还可以写?http://demo.pageadmin.net/zt/asp.aspx 生成的页面。 ### 漏洞证明: 嗯,我们回头想想,延伸一下,类似这种ascx后门的意义 比如我截图几个常见的扫描webshell的工具: 暗组的,默认只支持 *.asp,*.asa,*.aspx,*.asmx,*.ashx,*.cer,*.cdx,*.idc,*.inc,*.php,*.php3,*.php4,*.pshtml,*.jsp,*;*,*.lbi [<img src="https://images.seebug.org/upload/201405/211628021be934964d02ea596125e6beede066b4.png" alt="image044.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/211628021be934964d02ea596125e6beede066b4.png) 看看查杀结果先: [<img src="https://images.seebug.org/upload/201405/21162823981dd130494ca38763e4c0f7d9fe446f.png" alt="image045.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/21162823981dd130494ca38763e4c0f7d9fe446f.png) 且不管误报,我们用自定义控件生成的一句话index.aspx.aspx他是查出来的,但是由于默认规则没有ascx,所以并没有扫出我们的小小高级后门呵呵呵呵。 再来看看啊D的扫描结果: [<img src="https://images.seebug.org/upload/201405/211628432f3e6d66179d2cfb511723679f9b60b5.png" alt="image047.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/211628432f3e6d66179d2cfb511723679f9b60b5.png) 检测类型已经是全部了…… 实际上ascx类型在一般的情况下确实是会被忽略,但是在这里如果管理员不注意的话,这可是一个非常不错的后门啊!今天删了明天还会有。