畅捷通T+ v17任意文件上传漏洞复现

.前言

8月29晚上就开始收到通知，让我们来排查一下是否有使用畅捷通的系统，说是疑似0day导致很多用户被植入勒索病毒，一时间风头十足。第二天很多平台都更新的防护策略，本次漏洞是任意文件上传漏洞，如果网站前端存在waf等安全设备，应该是可以被正常拦截的，所以也无需过于担心。

2.漏洞复现

2.1 漏洞信息：

适用版本：<=v17.0
漏洞类型：任意文件上传
漏洞危害：可实现RCE获取主机权限
涉及接口：/tplus/SM/SetupAccount/Upload.aspx?preload=1

2.2 漏洞分析

这是一个上传漏洞，所以我们需要构造一个post的上传请求，请求接口即为
/tplus/SM/SetupAccount/Upload.aspx?preload=1，不难看出，这是一个上传用户个人头像的接口。

通过源码分析可知：

上传过程中只检测了Content-Type这一个参数，攻击者可以随意构造filename的参数从而上传任意文件，这就导致了漏洞的产生。

不难看出上传路径为当前目录下的images目录，即为
/tplus/SM/SetupAccount/images/目录。

到这里漏洞的产生原因就很清楚了，算是一个比较常见的上传漏洞，接下来就是常规的文件上传了。

2.3 漏洞利用

我们可以构造如下参数的上传包(出于和谐考虑就不贴完整的上传包了)：

Content-Type: multipart/form-data; boundary=---------------------------33007515338361897914262830846

-----------------------------33007515338361897914262830846
Content-Disposition: form-data; name="File1"; filename="test.html"
Content-Type: image/jpeg

test
-----------------------------33007515338361897914262830846--

此时我们访问一下
/tplus/SM/SetupAccount/images/test.html即可访问对应文件，至此这个漏洞的基本复现就完成了。

3.深度利用

注：非授权测试是违法行为，请大家不要恶意攻击他人的业务系统

漏洞到复现程度在上文就已经实现了，但是实际测试中如果你想要进一步利用就会出现一些问题。

你会发现aspx的文件并不能正常解析，这是由于根目录下的PrecompiledApp.config 中的updatable值设置成了false。导致后面上传的文件无法进行编译。aspx程序无法正常执行。

当然，遇到这种情况，部分环境是可以尝试asp文件进行getshell的。因为asp文件并非.Net处理。这个就只能看运气了绝大多数环境可能并不支持执行asp文件。

但是这种情况并非无法解决问题，我们可以通过手动编译的方式上传编译后的dll文件来提供aspx文件的运行环境。具体操作在这里就不具体分析了，等风头过了之后再考虑补全一下操作方案。

有想复现的白帽子可以参考
https://www.buaq.net/go-53733.html

4.修复方案

官方补丁， https://www.chanjetvip.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5
WAF拦截，由于这是一个常规的上传漏洞，很多waf都是有默认的拦截能力的，需要的话也可以将/tplus/SM/SetupAccount/Upload.aspx路径进行主动拦截。

TML基础

HTML基本知识与结构
HTML常见标签
标签写法与嵌套的讨论

HTML、CSS、javascript三者的关系

HTML是网页内容的载体。内容就是网页制作者放在页面上想要让用户浏览的信息，可以包含文字、图片、视频等。
CSS样式是表现。就像网页的外衣。比如，标题字体、颜色变化，或为标题加入背景图片、边框等。所有这些用来改变内容外观的东西称之为表现。
JavaScript是用来实现网页上的特效效果。如：鼠标滑过弹出下拉菜单。或鼠标滑过表格的背景颜色改变。还有焦点新闻（新闻图片）的轮换。可以这么理解，有动画的，有交互的一般都是用JavaScript来实现的。

<!DOCTYPE HTML>
指示 web 浏览器关于页面使用哪个 HTML 版本进行编写,必须写在所有代码的第一行!
如果你的页面添加了<!DOCTYPE html>，那么就等同于开启了标准模式，那么浏览器就得老老实实的按照W3C的标准解析渲染页面，这样一来，你的页面在所有的浏览器里显示的就都是一个样子了。
这个属性会被浏览器识别并使用，但是如果你的页面没有DOCTYPE的声明，浏览器按照自己的方式解析渲染页面，那么，在不同的浏览器就会显示不同的样式。
这就是<!DOCTYPE html>的作用。

固定结构

结构如下：

<html>
 <head>...</head>
 <body>...</body>
</html>

代码讲解：

<html></html>称为根标签，所有的网页标签都在<html></html>中。
<head> 标签用于定义文档的头部，它是所有头部元素的容器。头部元素有<title>、<script>、 <style>、<link>、 <meta>等标签，头部标签在下一小节中会有详细介绍。
在<body>和</body>标签之间的内容是网页的主要内容，如<h1>、<p>、<a>、<img>等网页内容标签，在这里的标签中的内容会在浏览器中显示出来。
为 html 文档加上使用的语言类型说明

在很多国际化的网站中会使用到！<html lang="zh-CN"> </html>告诉浏览器等设备，语言使用以中文为显示和阅读基础!英文使用 en

head标签

下面我们来了解一下<head>标签的作用。文档的头部描述了文档的各种属性和信息，包括文档的标题等。绝大多数文档头部包含的数据都不会真正作为内容显示给读者。

下面这些标签可用在 head 部分：

<head>
 <title>...</title>
 <meta>
 <link>
 <style>...</style>
 <script>...</script>
</head>

<title>标签：

在<title>和</title>标签之间的文字内容是网页的标题信息，它会出现在浏览器的标题栏中。网页的title标签用于告诉用户和搜索引擎这个网页的主要内容是什么，搜索引擎可以通过网页标题，迅速的判断出网页的主题。每个网页的内容都是不同的，每个网页都应该有一个独一无二的title。

meta标签

meta是html中的元标签，其中包含了对应html的相关信息，客户端浏览器或服务器端的程序会根据这些信息进行处理。
HTTP-EQUIV类似于HTTP的头部协议，它回应给浏览器一些有用的信息，以帮助正确和精确地显示网页内容。
content（内容类型）：重要！！这个网页的格式是文本的，网页模式
charset（编码）：特别重要！！！这个网页的编码是utf-8，中文编码，需要注意的是这个是网页内容的编码，而不是文件本身的，其他类型的编码中文可能会出现乱码。
http-equiv="Content-Type" 表示描述文档类型

content="text/HTML; 文档类型，这里为html,如果JS就是text/javascript，

charset=utf-8 页面字符集，编码，eg:gb2312,iso-8859-1,utf-8

meta标签

meta是html语言head区的一个辅助性标签。几乎所有的网页里，我们可以看到类似下面这段的html代码：

<head> 
 <meta http-equiv="content-Type" content="text/html; charset=gb2312"> 
</head>

也许你认为这些代码可有可无。其实如果你能够用好meta标签，会给你带来意想不到的效果，例如加入关键字会自动被大型搜索网站自动搜集；可以设定页面格式及刷新等等。

meta标签的组成

meta标签共有两个属性，它们分别是http-equiv属性和name属性，不同的属性又有不同的参数值，这些不同的参数值就实现了不同的网页功能。

1、name属性

name属性主要用于描述网页，与之对应的属性值为content，content中的内容主要是便于搜索引擎机器人查找信息和分类信息用的。

meta标签的name属性语法格式是：

<meta name="参数" content="具体的参数值">

其中name属性主要有以下几种参数：

1）Keywords(关键字)
　　说明：keywords用来告诉搜索引擎你网页的关键字是什么。
　　举例：
 <meta name ="keywords" content="science, education,culture,politics,ecnomics，relationships, entertaiment, human">
2）description(网站内容描述)
　　说明：description用来告诉搜索引擎你的网站主要内容。
　　举例：
 <meta name="description" content="This page is about the meaning of science, education,culture.">
3）robots(机器人向导)
　　说明：robots用来告诉搜索机器人哪些页面需要索引，哪些页面不需要索引。
　　content的参数有all,none,index,noindex,follow,nofollow。默认是all。
　　举例：
 <meta name="robots" content="none">
4）author(作者)
　　说明：标注网页的作者
　　举例：
 <meta name="author" content="root,root@21cn.com">

2、http-equiv属性

http-equiv顾名思义，相当于http的文件头作用，它可以向浏览器传回一些有用的信息，以帮助正确和精确地显示网页内容，与之对应的属性值为content，content中的内容其实就是各个参数的变量值。

meta标签的http-equiv属性语法格式是：

 <meta http-equiv="参数" content="参数变量值">

其中http-equiv属性主要有以下几种参数：

1）Expires(期限)
　　说明：可以用于设定网页的到期时间。一旦网页过期，必须到服务器上重新传输。
　　用法：
 <meta http-equiv="expires" content="Fri, 12 Jan 2001 18:18:18 GMT">
　　注意：必须使用GMT的时间格式。
2）Pragma(cache模式)
　　说明：禁止浏览器从本地计算机的缓存中访问页面内容。
　　用法：
 <meta http-equiv="Pragma" content="no-cache">
　　注意：这样设定，访问者将无法脱机浏览。
3）Refresh(刷新)
　　说明：自动刷新并指向新页面。
　　用法：
 <meta http-equiv="Refresh" content="2;URL=http://www.root.net">(注意后面的引号，分别在秒数的前面和网址的后面)
　　注意：其中的2是指停留2秒钟后自动刷新到URL网址。
4）Set-Cookie(cookie设定)
　　说明：如果网页过期，那么存盘的cookie将被删除。
　　用法：
 <meta http-equiv="Set-Cookie" content="cookievalue=xxx; expires=Friday, 12-Jan-2001 18:18:18 GMT； path=/">
　　注意：必须使用GMT的时间格式。
5）Window-target(显示窗口的设定)
　　说明：强制页面在当前窗口以独立页面显示。
　　用法：
 <meta http-equiv="Window-target" content="_top">
　　注意：用来防止别人在框架里调用自己的页面。
6）content-Type(显示字符集的设定)
　　说明：设定页面使用的字符集。
　　用法：
 <meta http-equiv="content-Type" content="text/html; charset=gb2312">
7）content-Language（显示语言的设定）
　　用法：
 <meta http-equiv="Content-Language" content="zh-cn" />

meta标签的功能

帮助主页被各大搜索引擎登录；
定义页面的使用语言
自动刷新并指向新的页面
实现网页转换时的动画效果
控制页面缓冲
控制网页显示的窗口

3、style中的属性

font-size:数值px; 文字大小控制
color:#六进制的颜色值; 文字颜色控制
text-align:left/center/right; 文字的居左、居中、居右控制。

标题标签

文章的段落用<p>标签，那么文章的标题用什么标签呢？下面我们将使用<hx>标签来制作文章的标题。

标题标签一共有6个，h1、h2、h3、h4、h5、h6分别为一级标题、二级标题、三级标题、四级标题、五级标题、六级标题。并且依据重要性递减。<h1>是最高的等级。

语法：

<hx>标题文本</hx> (x为1-6)

文章的标题前面已经说过了，可以使用标题标签，另外网页上的各个栏目的标题也可使用它们。

例如：

<body>
 <h1>一级标题</h1>
 <h2>二级标题</h2>
 <h3>三级标题</h3>
 <h4>四级标题</h4>
 <h5>五级标题</h4>
</body>

HTML注释

代码注释的作用是帮助程序员标注代码的用途，过一段时间后再看你所编写的代码，就能很快想起这段代码的用途。代码注释不仅方便程序员自己回忆起以前代码的用途，还可以帮助其他程序员很快的读懂你的程序的功能，方便多人合作开发网页代码。

<!--注释文字 -->

语义化

标签的用途：我们学习网页制作时，常常会听到一个词，语义化。那么什么叫做语义化呢，说的通俗点就是：明白每个标签的用途（在什么情况下使用此标签合理）比如，网页上的文章的标题就可以用标题标签，网页上的各个栏目的栏目名称也可以使用标题标签。文章中内容的段落就得放在段落标签中，在文章中有想强调的文本，就可以使用 em 标签表示强调等等。

讲了这么多语义化，但是语义化可以给我们带来什么样的好处呢？

更容易被搜索引擎收录。
更容易让屏幕阅读器读出网页内容。

后面会带领大家学习了解html中每个标签的语义（用途）。

喜欢前端的小伙伴们可以在评论区留言，寻找和小冯童鞋一样热爱前端的友人，让我们一起玩转前端的世界！

浏览器请求一个网页时，它会向网络服务器发送一系列不能被直接读取的信息，因为这些信息是作为HTTP信息头的一部分来传送的。您可以查阅HTTP协议来获得更多的信息。

下表列出了浏览器端信息头的一些重要内容，在以后的网络编程中将会经常见到这些信息：

信息	描述
Accept	指定浏览器或其他客户端可以处理的MIME类型。它的值通常为 image/png 或 image/jpeg
Accept-Charset	指定浏览器要使用的字符集。比如 ISO-8859-1
Accept-Encoding	指定编码类型。它的值通常为 gzip 或compress
Accept-Language	指定客户端首选语言，servlet会优先返回以当前语言构成的结果集，如果servlet支持这种语言的话。比如 en，en-us，ru等等
Authorization	在访问受密码保护的网页时识别不同的用户
Connection	表明客户端是否可以处理HTTP持久连接。持久连接允许客户端或浏览器在一个请求中获取多个文件。Keep-Alive 表示启用持久连接
Content-Length	仅适用于POST请求，表示 POST 数据的字节数
Cookie	返回先前发送给浏览器的cookies至服务器
Host	指出原始URL中的主机名和端口号
If-Modified-Since	表明只有当网页在指定的日期被修改后客户端才需要这个网页。服务器发送304码给客户端，表示没有更新的资源
If-Unmodified-Since	与If-Modified-Since相反，只有文档在指定日期后仍未被修改过，操作才会成功
Referer	标志着所引用页面的URL。比如，如果你在页面1，然后点了个链接至页面2，那么页面1的URL就会包含在浏览器请求页面2的信息头中
User-Agent	用来区分不同浏览器或客户端发送的请求，并对不同类型的浏览器返回不同的内容

HttpServletRequest类

request对象是javax.servlet.http.HttpServletRequest类的实例。每当客户端请求一个页面时，JSP引擎就会产生一个新的对象来代表这个请求。

request对象提供了一系列方法来获取HTTP信息头，包括表单数据，cookies，HTTP方法等等。

接下来将会介绍一些在JSP编程中常用的获取HTTP信息头的方法。详细内容请见下表：

序号	方法& 描述
1	Cookie[] getCookies()返回客户端所有的Cookie的数组
2	Enumeration getAttributeNames()返回request对象的所有属性名称的集合
3	Enumeration getHeaderNames()返回所有HTTP头的名称集合
4	Enumeration getParameterNames()返回请求中所有参数的集合
5	HttpSession getSession()返回request对应的session对象，如果没有，则创建一个
6	HttpSession getSession(boolean create)返回request对应的session对象，如果没有并且参数create为true，则返回一个新的session对象
7	Locale getLocale()返回当前页的Locale对象，可以在response中设置
8	Object getAttribute(String name)返回名称为name的属性值，如果不存在则返回null。
9	ServletInputStream getInputStream()返回请求的输入流
10	String getAuthType()返回认证方案的名称，用来保护servlet，比如 "BASIC" 或者 "SSL" 或 null 如果 JSP没设置保护措施
11	String getCharacterEncoding()返回request的字符编码集名称
12	String getContentType()返回request主体的MIME类型，若未知则返回null
13	String getContextPath()返回request URI中指明的上下文路径
14	String getHeader(String name)返回name指定的信息头
15	String getMethod()返回此request中的HTTP方法，比如 GET,，POST，或PUT
16	String getParameter(String name)返回此request中name指定的参数，若不存在则返回null
17	String getPathInfo()返回任何额外的与此request URL相关的路径
18	String getProtocol()返回此request所使用的协议名和版本
19	String getQueryString()返回此 request URL包含的查询字符串
20	String getRemoteAddr()返回客户端的IP地址
21	String getRemoteHost()返回客户端的完整名称
22	String getRemoteUser()返回客户端通过登录认证的用户，若用户未认证则返回null
23	String getRequestURI()返回request的URI
24	String getRequestedSessionId()返回request指定的session ID
25	String getServletPath()返回所请求的servlet路径
26	String[] getParameterValues(String name)返回指定名称的参数的所有值，若不存在则返回null
27	boolean isSecure()返回request是否使用了加密通道，比如HTTPS
28	int getContentLength()返回request主体所包含的字节数，若未知的返回-1
29	int getIntHeader(String name)返回指定名称的request信息头的值
30	int getServerPort()返回服务器端口号

HTTP信息头示例

在这个例子中，我们会使用HttpServletRequest类的getHeaderNames()方法来读取HTTP信息头。这个方法以枚举的形式返回当前HTTP请求的头信息。

获取Enumeration对象后，用标准的方式来遍历Enumeration对象，用hasMoreElements()方法来确定什么时候停止，用nextElement()方法来获得每个参数的名字。

<%@ page language="java" contentType="text/html; charset=UTF-8"
 pageEncoding="UTF-8"%><%@ page import="java.io.*,java.util.*" %><!DOCTYPE html><html><head><meta charset="utf-8"><title>菜鸟教程(runoob.com)</title></head><body><h2>HTTP 头部请求实例</h2><table width="100%" border="1" align="center"><tr bgcolor="#949494"><th>Header Name</th><th>Header Value(s)</th></tr><%
 Enumeration headerNames = request.getHeaderNames();
 while(headerNames.hasMoreElements()) {
 String paramName = (String)headerNames.nextElement();
 out.print("<tr><td>" + paramName + "</td>\n");
 String paramValue = request.getHeader(paramName);
 out.println("<td> " + paramValue + "</td></tr>\n");
 }%></table></body></html>

访问main.jsp，将会得到以下结果：

您可以在上面代码中尝试HttpServletRequest类的其它方法。

在线咨询

上一篇：「胖达分享」网页中的图片和html文档的路径
下一篇：使用正则表达式从HTML中提取并验证日期的有效性

您的项目需求

*请认真填写需求信息，我们会在24小时内与您取得联系。

整合营销服务商