YXBBS 2.3论坛系统后台拿shell 转自红黑联盟

火冰狐

　　昨晚无聊，在帮朋友看一个站过程中碰到了个网站。论坛YxBbS2.3版，管理员弱口令admin admin/很容易就到了后台。进去之后，既没有备份，上传文件类型cer,asa,php等都被过滤了（在Saveupload.asp）

　　尝试着在头像上传那里抓包修改然后nc上传，都失败了。折腾了许久，本来想放弃了后来想起了iis解析漏洞，于是试着在上传头像类型那里，添加asa;.jpg类型，然后前台上传头像1.asa;.jpg（该论坛系统头像是上传到/PreviousFile/head/目录下)可惜生成的是/PreviousFile/head/1.jpg,没有达到利用解析漏洞的目的。后来就想着把后面那个"."去掉试试，于是随便添加一种类似asa;aa asa;123的文件类型

　　再到前台上传头像，得到PreviousFile/head/1.asa;bb这个文件，成功利用解析漏洞。
　　后在本机架设的YXBBS3.0版本测试也是成功的（顺带一点3.0还可以用备份到.asa/目录取得shell)

　　◆这就为偶们小菜提供了一个思路，以后***过程中可以通过添加asa;111 asa;aaa等类型（;后面自由命名只要没有.），上传文件取得权限（当然前提是web由iis架设的）
　　◆类似也可用在“fckeditor将”.”转为”_”的问题上，因为某些版本的fckeditor会将最后一个"."前的所有”.”都转化为"_"，因此用asa;111,php;11等类型的文件扩展名，就可以将文件名控制在一个”.”内，从而起到利用解析的目的(网上也有通过二次上传从而得到有两个”.”的解析shell----------1.asa;1(1).jpg）
　　●相比之下，网站系统开发人员可能要费心了------------------------得过对;这个符号以及cer,asa，php,cdx等敏感扩展名积极过滤, 或者将上传类型限定仅为gif,jpg,rar,png,doc,xls等常用类型，辅以随机数命名文件(测试了DVBBS8.2及科讯CMS，两者都过滤的很好，disuz没测试)。
　　●     LAST,偶然也发现了1.asa;asa（带个就0k了）这种shell，在webshell里貌似删不掉.