WooYun.org

/incs/fckeditor/editor/filemanager/connectors/aspx/upload.aspx
此处上传权限过滤有问题，看代码
if (HttpContext.Current.Request.Cookies["Master"] == null) {
if (HttpContext.Current.Request.Cookies["Member"] != null) {
if (HttpContext.Current.Request.Cookies["Member"].Values["Fck_Upload"] == "0") {
HttpContext.Current.Response.Write("<script language=javascript>alert('No permission!')</script>");
HttpContext.Current.Response.End();
}
} else {
HttpContext.Current.Response.Write("<script language=javascript>alert('No permission!')</script>");
HttpContext.Current.Response.End();
}
}
他只检测了cookie Master、Member是否存在，Member[Fck_Upload]是否等于零。
所以我们可以构造Cookie: Master=1;Member=1&Fck_Upload=1
这样就绕过了此处的验证。
继续看代码
if (httpPostedFile != null && httpPostedFile.ContentLength != 0) {
int int_ = 0;
string text = Path.GetFileName(httpPostedFile.FileName);
string extension = Path.GetExtension(httpPostedFile.FileName);
text = DateTime.Now.ToString("ddHHmmss") + extension;
string filename = Path.Combine(base.UserFilesDirectory, text);
httpPostedFile.SaveAs(filename);
string text2 = base.UserFilesPath + DateTime.Now.ToString("yyyy-MM") + "/" + text;
if (this.string_3 == "1" && (extension == ".gif" || extension == ".jpg" || extension == ".jpeg")) {
Watermark watermark = new Watermark();
text2 = watermark.Add_Watermark(text2);
}
this.method_1(int_, text2, text);
}
此处获取了上传文件名，扩展名，然后用当前日期加扩展名作为上传后的文件名
然后直接使用SaveAs保存了文件，后面的代码是加水印的代码，只有图片才会加
所以，只要设置好cookie，就可以直接上传webshell。