【0day】Artyboard韩国论坛程序上传漏洞

Artyboard 是韩国比较早期得一款 ASP 语言得论坛，广泛应用于韩国中小网站。

一、漏洞存在于页面“editor/editor_flash.asp”中。

editor/editor_flash.asp：

var oEditor = parent.chutil.oname;

function DoReset(el)
{
document.getElementById(el).value = '';
document.getElementById(el).focus();
}

function DoPaste(el)
{
    document.getElementById(el).focus();
    document.getElementById(el).value = '';
    var pasteText = document.getElementById(el).createTextRange();
    pasteText.execCommand("Paste", false, false);
}

function DoSubmit(el)
{
        if (el == "file"){
                str = document.theForm.strFileName;
                if (str.value == ""){alert("플래시 파일을 선택해 주시기 바랍니다.");str.focus();return false;}

document.theForm.action = "editor_flash_ok.asp";
document.theForm.submit();

        }else{
    var media = (el == 'embed') ? document.getElementById("fm_embed").value :
        "<embed src='"+document.getElementById("fm_linkurl").value+"'></embed>";
    eval("parent."+oEditor).doCmdPaste(media);
    popupClose();
        }
}

function popupClose() {
    eval('parent.'+oEditor).popupWinClose();
}
</script>
</head>
<body>
<%
        DIM filepath, sType
        filepath = REQUEST.QueryString("filepath")
        sType    = REQUEST.QueryString("sType")
        IF sType = "" THEN sType = "1"
%>
<form name="theForm" method="post" action="editor_flash_ok.asp" style="display:inline" enctype="multipart/form-data">
<input type="hidden" name="filepath" value="<%=filepath%>">
<span class="normal">- 편집 화면에서 동영상을 보시려면 동영상을 더블 클릭하십시오.
- 퍼오기 한 내용은 키보드 'Ctrl+V' 또는 '붙이기 버튼'을 클릭하십시오.
- 파일 업로드는 플래시 파일만 가능하며, 서버에 플래시 파일이 저장됩니다.
</span>
<fieldset style="margin-top:10px;padding:5px"><legend><span class="normal">플래시 삽입 형태</span></legend>
</textarea>

<div style="text-align:left">
<input type="radio" name="strType" id="strType0" value="0"<% IF sType = "1" THEN %> CHECKED<% END IF %> onClick="OnDisplay('1');"><span class="normal"><LABEL FOR="strType0" style="cursor:hand">HTML 태그</LABEL></span>
<input type="radio" name="strType" id="strType1" value="1"<% IF sType = "2" THEN %> CHECKED<% END IF %> onClick="OnDisplay('2');"><span class="normal"><LABEL FOR="strType1" style="cursor:hand">링크주소</LABEL></span>
<input type="radio" name="strType" id="strType2" value="2"<% IF sType = "3" THEN %> CHECKED<% END IF %> onClick="OnDisplay('3');"><span class="normal"><LABEL FOR="strType2" style="cursor:hand">파일 업로드</LABEL></span>
</div>
</fieldset>
<table width="100%" border="0" cellspacing="0" cellpadding="0">
        <tr id="tr_1" style="display:<% IF sType = "1" THEN %>block<% ELSE %>none<% END IF %>">
                <td>
<fieldset style="margin-top:10px;padding:5px"><legend><span class="normal">HTML 태그 - <EMBED> 또는 <OBJECT></span></legend>
<textarea name="embed" id="fm_embed" rows="3" style="width:460px;" /></textarea>
<div style="text-align:center"><button onClick="DoSubmit('embed')" class="button">확인</button> 
<button onClick="DoPaste('fm_embed')" class="button">붙이기</button> 
<button onClick="DoReset('fm_embed')" class="button">다시입력</button></div>
</fieldset>
                </td>
        </tr>
        <tr id="tr_2" style="display:<% IF sType = "2" THEN %>block<% ELSE %>none<% END IF %>">
                <td>
<fieldset style="margin-top:5px;padding:5px"><legend><span class="normal">링크 주소 - HTTP</span></legend>
<textarea name="linkurl" id="fm_linkurl" rows="3" style="width:460px;" /></textarea>
<div style="text-align:center"><button onClick="DoSubmit('url')" class="button">확인</button> 
<button onClick="DoPaste('fm_linkurl')" class="button">붙이기</button> 
<button onClick="DoReset('fm_linkurl')" class="button">다시입력</button></div>
</fieldset>
                </td>
        </tr>
        <tr id="tr_3" style="display:<% IF sType = "3" THEN %>block<% ELSE %>none<% END IF %>">
                <td>
                <fieldset style="margin-top:10px;padding:5px"><legend><span class="normal">플래시 파일 업로드</span></legend>
                <input type="file" name="strFileName" style="width:460px;" />
                <div style="text-align:center"><button onClick="DoSubmit('file')" class="button" style="width:100px">파일업로드</button></div>
                </fieldset>
                </td>
        </tr>
</table>
<div class="spacer"></div>
<div style="text-align:center">
<button onClick="popupClose()" class="button">취소</button>
</div>
</form>
<script language="javascript">

function OnDisplay(str){

                document.all['tr_1'].style.display = "none";
                document.all['tr_2'].style.display = "none";
                document.all['tr_3'].style.display = "none";

                switch (str){
                        case "1" :
                                document.all['tr_1'].style.display = "block";
                                break;
                        case "2" :
                                document.all['tr_2'].style.display = "block";
                                break;
                        case "3" :
                                document.all['tr_3'].style.display = "block";
                                break;
                }
        }

</script>
</body>
</html>

未经验证即可上传、且上传到根目录之后对文件的名字未作改变，在结合 IIS6 的解析漏洞之后形成了本漏洞。

利用方法：

一、打开“editor/editor_flash.asp”页面，上传“X.asa;.swf”。

二、WebShell 的地址：http://simple/X.asa;.swf

文章目录