Раскрытие Пути в aspx.

Вы просили чего то новенького пожалуста...


INTRO

Из атак на aspx мы знаем xss, sql inj, возможность прочитать global.asa из-зa неправильно настроенного сервера. Сегодня я расскажу о такой ошибки как раскрытие пути в aspx. Ошибка не где не была выкладывалась, но если даже так то с удовольствием выставлю копирайты.

BUG

И так макисимум что мы сможем выжать из данной уязвимости это раскрытие пути до веб каталога, насколько это серьезная уязвимость решать вам, но иногда путь бывает очень нужен. Ошибка возникает из-за некоректной обработки IIS символов ~ и " (тильда и двойная кавычка.) Рассмотрим данную уязвимость на примере сайта
www.rgr.ru
Как мы видем по банеру на 80 порте IIS 6.0 бегло просматриваем структуру сайта. Теперь перейдем непосредстрвенно к нашей уязвимости. Потыркав по ссылкам я решил остановиться на http://rgr.ru/Guild/Banners/default.aspx что ж теперь попробуем узнать реальный путь от корневой директории мы будем использовать такие запросы :

http://rgr.ru/Guild/Banners/~default.aspx
http://rgr.ru/Guild/Banners/%22default.aspx

Мы видим реальный путь от корня до веб директории. Насколько вам она поможет я не знаю но надеюсь когда нибудь пригодиться.

Описание
Бага возникает из некоректной обработки пути до файла. Еще некоторые подробности которые необходимо знать. Что необходимо правильная папка и расширение файла aspx. Тоесть рассмотрим 3 запроса

http://rgr.ru/path_to_loleg/~default.aspx
http://rgr.ru/~loleg
http://rgr.ru/~loleg.aspx

По выводу ошибок после данных запросов думаю все понятно. Данная ошибка присутсвует на большисве серверов под управление IIS.


(c) [cash] Hak-Shop.Org.RU

Ошибка в некоторых случаях позваляет читать исходный код файлов.

']Ошибка в некоторых случаях позваляет читать исходный код файлов.

пример? ты про какую-то экзотику говоришь или стандартынми методами?

http://rgr.ru/~loleg.aspx
Вот те пример и метод который я выладывал давно но не кто не обралил внимания, не где не какого описаня по этому поводу я не нашел.

Не Знаю почему но на некоторых серваках вываливаеться в дебаг весь исходник.

Примера не будет сервак мне нужен.
Возможно потом.

ИМХО это переполнение буфера.

Я то думал ты расскажешь как обойти эту ошибку и свободно юзать скули/xss на асп =)

1) это aspx
2) xss юзать так же как и везде.
3) "скули" это другая статья.

ps
как обойти эту ошибку
зачем ее обзодить если смысл данного метода заключаеться в ее вызове...

Эммм...посмотрел...встречала сь такое когда искал скули...(но необращал внимания)
Хммм...чесно говоря незнаю понадобиться ли такая езвимость или нет, но загадывать небуду...т.к. знать путь веб гаталога может быть когда нить и понадобиться...
Вообщем если же и понадобиться узнать путь...терь буду знать как его узнать =)

возможность прочитать global.asa из-зa неправильно настроенного сервера

Если не трудно растолкуй подробнее. Если не хочешь засорять тему скинь в приват, буду очень признателен

']http://rgr.ru/~loleg.aspx
Вот те пример и метод который я выладывал давно но не кто не обралил внимания, не где не какого описаня по этому поводу я не нашел.

ну это я видел, только мне это не пригодилось, и не часто сталкиваюсь с aspx

Когда вы ставите кавычку
index.aspx?id=1'
и вылазиет похожая ошибка. это совсем не то что написанно выше.

2 Slon
http://site.com/global.asa возможность на чтение из веб.
https://site.com/some_folder/global.asa

ИМХО это переполнение буфера. Мда... ты хоть знаешь, что такое переполнение буфера? Ты просто хотел показать, какое крутой словосочетание ты знаешь?

то что сервак выдает исходный код на мой взгляд и есть дамп данных из памяти.
В этом я не силен это мое предположение и если ты грамотно меня поправишь я соглашусь с твоим мнением.

Многострадальный MTV работает аналогично:

http://www.mtv.ru/~work.aspx
http://www.mtv.ru/~list.aspx

В этом я не силен это мое предположение Ога, переполнение буффера тебе код вывалило, в Html представило, Css'ом оформило да еще и коммент добавило.
А еще оно наверное тебе кофе варит и сексом трахается?

исходник aspx файла.

<%
code...
%>

знаешь такое???
Токо дуру гнать и понтоваться не надо.
Думай что пишешь, если не видишь разницы между сурсом страницы и html кодом... если ты не знал aspx это не только html разметка.

[ cash ], уважаемый, хватит жечь. Объясни нам причём тут переполнеие-то?
Ты же сам скзал:
Не Знаю почему но на некоторых серваках вываливаеться в дебаг весь исходник.
Ключевое слово "дебаг".

Да я токо предположил че вы взелись то...
В это ошибки в System.Web.Debug(<%исходник скрипт%>)
Почему я не знаю. Вот и сказал че вы сразу меня обсирать...

']Вот и сказал че вы сразу меня обсирать...

Иногда если не знаешь лучше молчать. А насчёт обсирать - это ты преувеличиваешь, всего лишь конструктивная критика в твой адрес. Извиняй, не хотел тебя обидеть, просто спросил =)

How to get database of it? Please! Tell me know!

Really, there is only a one way to start attack on a server, perhaps - some kind of assistance for your further attack.

Безусловно интересный тип ошибки, конечно же никакого переполения сдесь нет. Framework самостоятельно перехватывает ошибку и обрабатывает её - вообще явление переполнения в нём пока не очень изучено (читай оч редко бывает, а если и бывает то поиметь с этого моло чего можно). Раскрытие пути тоже не всегда происходит, предположу, что путь раскрывается в результате неверно настроенного конфига, конкретнее параметра <compilation debug="true"/>. По дефаулте студией он выставляется в ложь, но для упрощения разработки многие выставляют в тру, а потом просто забывают постановить значение в ложь. У меня было такое что приложение вообще вывалилалось с таким параметром и отказывалось работать - приходилось поступаться безопасности ради работоспособности. Если всё настроено белее мение верно, со скрипт должен вернуть простую ошибку типа:
Exception Details: System.ArgumentException: Illegal characters in path.
или
Description: HTTP 404. The resource you are looking for (or one of its dependencies) could have been removed, had its name changed, or is temporarily unavailable. Please review the following URL and make sure that it is spelled correctly.
На счёт исходного кода, то тоже мало вероятно (хотя всё может быть). Возожно cash обратил внимание на блок Stack Trace в котором подробно описывается експшен, что действительно немного похоже на аспешный код, но это не так - всего лишь таблица инициалицации полей и выполнения функций.

Но бага действительно зачётная т.к. раскрытие полного пути - это немаловажно.

Об этом баге реально нигде еще не сказано; посмотрел в ASP Auditor'е, для раскрытия пути там применяется совершенно иной способ:
http://site.com/[non-existent-file].aspx?aspxerrorpath=/

при некоторых условиях в баг репорте выводиться часть или весь код исходника aspx

Please! Example.How to Attack file to database of it.

']при некоторых условиях в баг репорте выводиться часть или весь код исходника aspx

Некоторые условия, это наличие следующей записи в вебконфиге <customErrors mode="Off"/> :D

но для нашей баги исходник выводица не будет т.к. ошибка не на самой странице, а в фреймвёрке, а его исходники скомпилены и вообще это не аспх код :D

Если же мистейк на самой странице то вы получите парочку строк кода, детали компиляции и детали исходника скомпиленной паги.