利用Bbsxp头像上传漏洞直接拿Webshell

首先大家看一段代码，这个是我从网上下的一套bbsxp最新版，我先简单分析以下三段代码：

if FileExt="asa" or FileExt="asp" or FileExt="cdx" or FileExt="cer" then error2("对不起，管理员设定本论坛不允许上传 "&FileExt&" 格式的文件")

if Sitesettings("WatermarkOption")="Persits.Jpeg" and
FileMIME="image/pjpeg" and UpClass<>"Face" then
Set Jpeg = Server.CreateObject("Persits.Jpeg")
Jpeg.Open Server.MapPath(""&SaveFile&"")

’判断用户文件中的危险操作
sStr="getfolder|createfolder|deletefolder|createdirectory|deletedirectory|saveas encode|function|UnEncode|execute|重命名|修改|属性|新建|复制|服务器|下载"
sNoString=split(sStr,"|")
for i=0 to ubound(sNoString)
if instr(sTextAll,sNoString(i)) then
set filedel=server.CreateObject ("Scripting.FileSystemObject")
filedel.deletefile server.mappath(""&SaveFile&"")
response.write "你的ip和时间已被纪录，由于你曾多次使用该方法对系统进行非法攻击，
我们将会把你的数据向海南省公安部及海口网警报告!"
response.write "<br>"
response.write "时间:"&date()&" "&time()&""
response.write "<br>"
response.write "I P:"&request.servervariables("remote_addr")&" "
set MyFiletemp=server.CreateObject("Scripting.FileSystemObject")
set wfile=myfiletemp.opentextfile(server.mappath("ypsql.txt"),8)
wfile.writeline date()&" "&time()&" "&request.servervariables("remote_addr")
Response.end
end if

其中：文件保存类型是通过FileMIME判断FileMIME="image/pjpeg"，也就是说上传类型要是图片，然后第一段代码，if FileExt="asa" or FileExt="asp" or FileExt="cdx" or FileExt="cer" then error2("对不起，管理员设定本论坛不允许上传 "&FileExt&" 格式的文件")的意思是：出错时候检查后缀.如果后缀是asa或者asp或者cdx或者cer的时候他就会提示错误。然后FileExt=文件后缀第三段代码的意思是：如果文件中有getfolder，createfolder等等特征的话。他就提示错误.错误类型在下边自己看了。

Bssxp是通过这3段代码来过滤上传类型的.可这却造成了一个逻辑性的漏洞.聪明的读者可能已经发现了.他过滤的后缀只有asa、asp、cdx、cer如果我们传的文件的后缀不是这4个呢？嘿嘿,不是这4个也不能传.为什么？因为后边还有个FileMIME="image/pjpeg"。好,我们让文件是image/pjpeg。具体怎么实现呢？很简单。在我们的马马头部加上gif89a。也就是文件头欺骗。

打补丁的话 只要在 代码里添加 FileExt="aspx" FileExt="php" 就好了

今天动画内容的是bbsxp头像上传漏洞。资料在上面不多说。大家看我操作。这里说下上传。除了大小限制。10k以下。还需要文件头欺骗。我用的是aspx的小马。会打包给大家。好了继续
上传成功。根我们的asp小马一样。不过这里我们现上传asp小马在传大马。因为直接传大马出错几率非常高。
好了。真慢啊。总算看到大马了。刚才路径前面那饿b没有去掉所以出错了。好了。就到这里。