保护反被保护误――桃源网盘新漏洞 电脑资料

保护反被保护误桃源网盘新漏洞 电脑资料 近期本人接手了研究“桃源网络硬盘安全问题”的相关任务， 保护系统存缺陷 首先回顾一下：如果大家是黑防的忠实读者，就会知道黑防在去年有几篇漏洞文章是针对桃源网盘的。它存在目录跳转容易导致网站被攻破的问题，官方的处理方法是只要发现有恶意的数据输入或用户目录中存在非法的“”就将其删除，这只能说是治标不治本。然而“她”的逻辑思维差了一点，有时候会把自己的网站程序也删除掉（WTF：爱清洁？）。 研究发现，问题出现在“文本文件的在线”模块。我们可以在浏览器的地址栏中看到在线的。当我在中“Path”变量上重写一个目录跳转符（“././”）然后用的方式开始请求，就会实施“大扫除”行动了。 注意图中浏览器地址中选定的部分，它原本是“/”，现在我把它改成“././”然后回车。 页面先提示无权修改文件、无权浏览目录、接着就是网站访问出错，目录上的文件消失了一大半。“桃源网络硬盘”的网站程序根目录，可以发现目录上所有的“”和“”文件都被“桃源网络硬盘”的保护模块删除了，是不是有点可怕呢？ 借尸还魂写后门 这次改名大法又引发了不少问题，下面我把分析到的问题一一解释。 1.空间轻易转移 在文件改名过程中，“”并没有过滤，所以文件改名为“b”等以“”开头的字串，就会让文件转移到网站的根目录。 这个文件的空间转移是不是很有趣呢，不过这有趣的现象与网络安全没有什么关系，（WTF:你浪费了20多个字的版面），至少不可以删改文件，不可以上传文件。事实上它与我下面的操作是有很多关系的，至少让我们了解到一些信息。因为“安全” _从很多方面去想，不管有没有价值也要想。 .文件来回挪移 正因为有了之前的问题存在，让我有了让文件在用户文件目录与网站程序目录之间移动的想法， 将其中以“”提交的报文抽取出来保存为一个文件，然后修改“”数据里的源文件名。它原本是 “”源文件名全称“C”要修改为文件名（并不包含扩展名），修改后用提交。 在用提交时会出现错误提示：“详细情况：线程正被中止。”，这只是程序的逻辑顺序有问题，并不影响使用。用提交后会把网站程序根目录中的“About.aspx”转移到我的用户文件目录下。 这里需要注意的是桃源网络硬盘的保护模块，就是前面所说的发现用户目录上有类似“”的文件时会把它删除。这里不管你是不是木马都会删除。所以用把文件转移后千万不要再用桃源网络硬盘的文件查找功能，否则保护模块激活后，我们刚才忙活的都白干了。可以利用的“about.aspx”文件毕竟只有一个（桃源网络硬盘目录上的类文件都是相关的，文件失踪后就无法再使用。）。 “在线文本文件”的保护模块有一个清除类文件的功能，所以我们不能再使用这个功能了，但可以直接通过“在线文本文件”去打开自己指定存在的文件。下面我利用“在线文本文件”去我指定的“b.aspx”文件。 下面到最重要的时刻，在此写入木马然后保存。 可以看出用此法保存文件并非难事。如果我们能够猜到它存放用户文件的相对路径，而且该目录具备有执行脚本的权限，就可以重组直接使用了。但有时用户目录并不一定具备脚本的执行权限，所以我又引出下面的方法：既然我可以把桃源网络硬盘的程序移动到我的目录，为什么不可以把我目录上的文件移动到有执行权限的目录呢？ 再次请出，提交的数据修改。 此处源文件名改为自己目录的文件名，我的是“b.aspx”，正常情况是“%7C%2F”+你的新文件名（不含扩展名），所以把它修改成“%7C/muma”就可以了，用NC提交后就会在网络硬盘程序目录上出现一个“muma.aspx”，我们直接用访问。就是我们辛勤汗水的结晶，切记使用了借尸还魂大法后要清理与修复现场。 看来要得到一个网站的ebShell并不难，但是出现此问题如何应急