Wodig4.1.3Access免费版(UTF-8)上传漏洞

韩小末

1，upload/upload_image.asp、Mutiupload_image.asp。从cookie中取得userid，放在session中，作为path。   
ASP/Visual Basic代码   

1. loadsrc="/UploadFile/"&Request.Cookies("UserID")&"/" '如果网站不是放在跟目录下，请在/UploadFile前加上你存放的目录名，如放在wodig文件夹，就在前面加上/wodig 注意最前面要有/   
2. Session("uppath")=loadsrc   

2，upload/upfile_image.asp、mutiUpfile_image.asp上传文件取得session中的path，作为路径上传文件。   
ASP/Visual Basic代码   

1. filepath = Session("uppath") '属性,上传前文件所在的路径   
还好j8hacker服务器做过可写目录不可执行配置，逃过一劫，上传的shell没有被执行，没有变成黑客留言本。   

后来搜索这个漏洞，好像没有被人爆过，那也许就是0day了。。。   

在官方下了最新版本，果然同样存在该漏洞。并且2个上传文件均采用这种方式（都有漏洞）。   

游戏进行到此目前已经爆了2个0day，都是直接拿shell的。   

漏洞详细利用方式如下：   

----------------------------------------------------------   

来到   

http://www.hacknote.com/upload/upload_image.asp?formname=form&ImgSrc=src_img_2&editname=src_img   

页面，修改cookie中的UserId字段值为hacknote.asp   

刷新该页面（一定要刷一下，为了让userid写入session）   

上传shell，shell要改名为gif文件。   

上传后，看源文件，发现路径为   

uploadfile/hacknote.asp/sXXXXXXXXXXX.gif   

　   
　   
PS：这个文章吸引人的地方就是用cookie控制上传的目录　 。。所以大家找0day的时候注意咯