作者:f4tb0y

    新云下载任意文件漏洞不是什么新东西了,也爆出过上传 0day:http://www.t00ls.net/thread-5023-1-13.html。

    今天碰到一个目标,非常有意思……

    那些 user 目录虽然有页面,但名字变了。虽然地址不变(怀疑是管理员照抄其他网站,暂时还未修改)。

    目标有几个目录,相当于子站吧。其中一个新云站,从后台界面就可以看出是新云的系统,试着用下载任意文件漏洞。

    成功下载“conn.asp”看到其中的数据库路径,非常奇怪的有一个“../”,不管三七二十一 URL 编码“#”字符“%23”,然后加不加“../”都试了一下,仍用下载漏洞下载(貌似直接下载都是404)。

    但下载回来,非常惊喜 0 KB!

    “downfile.asp”代码看了,没有限制什么文件大小。想探究一下是否“downfile.asp”这种文件会自动限制下载大小?(神奇),如果这样该怎样爆出数据库呢?其他一些 100kb 以下的文件貌似都可下载。

针对这种情况,解决方案如下:

xxbing:

因为你下载的数据库文件里面有防下载代码“<% loop <%”,你用 txt 打开数据库看。

khjl1:

搞定了,顺藤摸瓜,找到一留言的数据库,插一句话,连接就 OK 了。

downfile.asp?url=a/../../../../jszx/xzxx/YuQaIFS_Conn.asp

至于为啥数据库下载不了, 还没搞清楚……

800+KB的可以下载,经测试,不是ninty大黑客说的原因。应该是XXBing说的含有“<% loop <%”

f4tb0y:

楼上果然渗透好手。。。。随便顺藤摸瓜就这么一句话插进去了。。。xzxx 这目录我咋没注意呢。。。

对了 XXBING大牛正解,用菜刀下载了动易数据库,记事本一开 CTRL + F。。。

问题解决了,感谢楼下每一位同学 khjl1 同学很牛。。。渗透好手啊。
 
感谢核心 xxbing 的回答,正解也。不多解释,截图在此(loop 防下载)。

博主评论:

    其实这个防止下载代码“<% loop <%”,有个破解方式,只要我们在数据库里的两个地方合适地插入“<%&#39;”和“:%>”(在数据库中有时不要冒号也可以)即可将 loop 的防下载给过滤掉。

    具体去看:http://www.baidu.com/s?wd=%C8%E7%BA%CE%CD%BB%C6%C6%CA%FD%BE%DD%BF%E2Loop%B7%C0%CF%C2%D4%D8%CA%B5%C0%FD&n=2