利用%5c绕过验证

　　说到%5c，你是不是想起了当前流行的那个%5c暴库漏洞，呵呵，本文就是对%5c利用的探索(呵呵，当然有我提出的新东东，或许对你有帮助哦^_^)。

　　好，我们先追根溯源，找到那个漏洞的老底。看看绿盟2001年的漏洞公告：_bug&do=view&bug_id=1429">http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=1429

　　n年以前利用这个漏洞可以实现目录遍历，虽然微软出了补丁，不过好像补丁是用来限制iis只能访问虚拟目录的，所以漏洞还是存在，只不过利用方式变了。对iis来说，提交一个含有%5c的url能够找到文件，但是该文件里以相对路径引用的其他文件却找不到了(%5c是的url编码，iis跳转到上一级目录去找，当然找不到;头晕了吧，哈哈，我也头晕啊)。

　　后来这个漏洞就被牛人挖掘出来了，也就是传说中的%5c暴库：由于连接数据库的文件引用的相对路径，提交%5c找不到文件，所以导致出错，iis就会老老实实的说出数据库的路径(不明白?找google)。

　　一个偶然的机会我发现还可以利用%5c绕过asp的验证;当我们暴库失败的时候不妨试试。

　　废话少说，看下面的代码：

　　处理 ssi 文件时出错

　　看到没有，要想通过验证必须让数据库里的用户名密码与提交的一致;想到什么?让我们再看看数据库连接文件代码：

　　啊，有容错语句不能暴库!等等，如果提交%5c数据库找不到，由于容错，所以程序会继续执行，那么说来从数据库得到的用户名密码皆为空(想想有时暴库失败是不是看到空空的框架，因为数据都是空嘛)，哈哈，这样我们就绕过验证了!

　　知道怎么做了吧，把登陆页面保存到本地，修改提交的url，把最后一个/改成%5c，用户名密码用空格(有的程序会检查用户名密码是否为空，空格会被程序过滤)，提交，就ok了。

　　诶，各位不要以为我自己没事写段代码来捣鼓，实际上这个是我们学校一个高手做的留言板程序，就挂在学校的主页，呵呵。

　　既然弄懂了原理，当然要找实际漏洞啦，自然是拿大名鼎鼎的"洞"网论坛开刀。不过失败了，因为它的数据库连接文件里有这么一段：

　　if err then

　　err.clear

　　set conn = nothing

　　response.write "数据库连接出错，请检查连接字串。"

　　response.end

　　end if

　　数据库找不到程序就结束了，呵呵，空欢喜一场。

　　接着又去down了bbsxp论坛，打开数据库连接文件，晕，根本没有容错语句;呵呵，不过可以暴库哦。

　　我又不是bt，所以不去找事了，写篇文章，算是给各位高手提供资料吧。

　　总结一下这个攻击方法成功的条件：1、数据库连接用的相对路径且仅有简单的容错语句;2、服务器iis版本为4或5;3、程序里不检查空字符或者检查时不过滤空格而比较时过滤空格;4、程序不能位于一级目录

　　至于防范，呵呵，既然攻击条件知道了，防范措施自然也出来了^_^

（本文由责任编辑 pasu 整理发布）