bbsxp上传漏洞

==========================================
这个漏洞出于upface.asp文件，也就是上传头像的文件，是过滤不严造成的。
针对windows2003服务器默认的支持asp.net
通杀access和sql。
-----------------------------------------

分析一下漏洞的形成

if FileExt="asa" or FileExt="asp" or FileExt="cdx"
or FileExt="cer" then error2("对不起，管理员设定本论坛不允许上传 "FileExt" 格式的文件")
-从上面的代码看出，过滤了asp,asa,cdx和cer的文件格式，却可以传aspx格式，前提条件是windows2003服务器默认的支持asp.net。

if Sitesettings("WatermarkOption")="Persits.Jpeg" and FileMIME="image/pjpeg" and UpClass<>"Face" then
Set Jpeg = Server.CreateObject("Persits.Jpeg")
Jpeg.Open Server.MapPath(""SaveFile"")
-判断用户文件中的危险操作
-这里是检测对应图片图片格式的文件头，这里我们可以伪造。

-----------------------------------------

gif文件的结构

取决于它属于哪一个版本，目前的两种版本分别是gif87a和gif89a，前者较简单。无论是哪个版本，它都以一个长13字节的文件头开始，文件头中包含判定此文件是gif文件的标记、版本号和其他的一些信息。如果这个文件只有一幅图象，文件头后紧跟一个全局色表来定义图象中的颜色。如果含有多幅图象(gif和tiff格式一样，允许在一个文件里编码多个图象)，那么全局色表就被各个图象自带的局部色表所替代。

gif图片对应的文件头是gif87a和gif89a
上面的代码只是判断文件格式和文件头这些我们都可以绕过去的，
所以漏洞这样就形成了。

-----------------------------------------

测试站点:qiuzhi.77k.cn

-用记事本打开aspx文件，前面加上gif文件头gif87a/gif89a。

-注册个用户，登陆，“个人服务”-“上传头像”，

-伪造好的aspx头像上传成功，查看头像-右键-属性，
地址：http://qiuzhi.77k.cn/UpFile/UpFace/474.aspx这个就是aspx马的地址了，成功拿到webshell。

-----------------------------------------
题外话：这个漏洞算是比较严重了，和动易一样是前台拿WebShell，不需要得到管理员密码登陆后台再通过方法拿WebShell，以后应该会陆续出现这样的漏洞，过滤不严从而达到文件头欺骗上传。