漏洞位于注册页面的\User\Reg\RegAjax.asp 中的24 - 46行 和 254 -270 行
代码如下:代码省略。。。以上代码中的Province=UnEscape(KS.S("Province"))
调用自定义函数KS.S进行过滤,接着又调用UnEscape函数解码!
其中KS.S 函数 与UnEscape函数 原型如下:
代码省略。。。
这里编码出现混乱,产生了与php的二次编码类似的漏洞,利用比较简单,可以union:
因为解码的时候进行了CLng类型转换,提交字符可以使其报错从而爆出物理路径
爆物理路径:
