28,391
社区成员
发帖
与我相关
我的任务
分享(分享)fckeditor爆出上传漏洞,个人暂时解决办法。
今天一个客户站被传木马,是fck2.6.1版本,经分析上传文件为,1234.asa;jpg,查资料发现fck已经对.asp做过处理,.asp改为_asp(自定义文件夹是这样修改的),这样就避免了黑客通过123.asp/11.jpg来上传(题外话)。
测试自己手动修改一个木马为xx.asa;jpg提示上传不正确但是不知道,他传的这个文件到底是做过怎么处理,居然能上传。
上传后文件名为日期.asa;jpg(我个人定义上传文件格式为日期型),由于03iis解析漏洞,ie浏览此文件木马正常运行(怕)。
个人暂时解决办法,editor\filemanager\connectors\asp\io.asp,
找到代码SanitizeFileName = GetNewFileName()&"."&split(SanitizeFileName,".")(1)
修改为:SanitizeFileName = GetNewFileName()&"."&right(split(SanitizeFileName,".")(1),3)
这样上传文件就成为了日期.文件后三位。
这样木马虽然上传上去,但是却不能按.asp或者.asa解析了。
现在想,可以进一步做处理,加入代码:
kill=你的图片路径&SanitizeFileName
set MyFile = server.CreateObject("Scripting.FileSystemObject")
set MyText = MyFile.OpenTextFile(Server.mappath(kill), 1) '读取文本文件
sTextAll = lcase(MyText.ReadAll)
MyText.close
set MyFile = nothing
sStr="<%|.getfolder|.createfolder|.deletefolder|.createdirectory|.deletedirectory|.saveas|wscript.shell|script.encode|server.|.createobject|execute|activexobject|language="
sNoString = split(sStr,"|")
for i=0 to ubound(sNoString)
if instr(sTextAll,sNoString(i)) then
set filedel = server.CreateObject("Scripting.FileSystemObject")
filedel.deletefile Server.mappath(kill)
set filedel = nothing
Response.Write("<script>alert('您上传的文件有问题,上传失败!同时您这项可疑操作已被本站记录。');history.back();</script>")
Response.End
end if
next
来对图片内容进行限制,如果发现限制过严,可以修改限制字符串。
木马文件我已经压缩: 地址--www.xuntuo.net/1234.rar.
里面的文件可以自己去测试。不过我按他的那种命名方式不知道为什么fck就不能上传,而他这个文件就可以。
欢迎有更好解决办法都朋友分享下。
测试自己手动修改一个木马为xx.asa;jpg提示上传不正确但是不知道,他传的这个文件到底是做过怎么处理,居然能上传。
上传后文件名为日期.asa;jpg(我个人定义上传文件格式为日期型),由于03iis解析漏洞,ie浏览此文件木马正常运行(怕)。
个人暂时解决办法,editor\filemanager\connectors\asp\io.asp,
找到代码SanitizeFileName = GetNewFileName()&"."&split(SanitizeFileName,".")(1)
修改为:SanitizeFileName = GetNewFileName()&"."&right(split(SanitizeFileName,".")(1),3)
这样上传文件就成为了日期.文件后三位。
这样木马虽然上传上去,但是却不能按.asp或者.asa解析了。
现在想,可以进一步做处理,加入代码:
kill=你的图片路径&SanitizeFileName
set MyFile = server.CreateObject("Scripting.FileSystemObject")
set MyText = MyFile.OpenTextFile(Server.mappath(kill), 1) '读取文本文件
sTextAll = lcase(MyText.ReadAll)
MyText.close
set MyFile = nothing
sStr="<%|.getfolder|.createfolder|.deletefolder|.createdirectory|.deletedirectory|.saveas|wscript.shell|script.encode|server.|.createobject|execute|activexobject|language="
sNoString = split(sStr,"|")
for i=0 to ubound(sNoString)
if instr(sTextAll,sNoString(i)) then
set filedel = server.CreateObject("Scripting.FileSystemObject")
filedel.deletefile Server.mappath(kill)
set filedel = nothing
Response.Write("<script>alert('您上传的文件有问题,上传失败!同时您这项可疑操作已被本站记录。');history.back();</script>")
Response.End
end if
next
来对图片内容进行限制,如果发现限制过严,可以修改限制字符串。
木马文件我已经压缩: 地址--www.xuntuo.net/1234.rar.
里面的文件可以自己去测试。不过我按他的那种命名方式不知道为什么fck就不能上传,而他这个文件就可以。
欢迎有更好解决办法都朋友分享下。
...全文
请发表友善的回复…
发表回复
duanbaoqi8023 2011-01-28
- 打赏
- 举报
可是他还是可以,修改上传目录,你总不能把整个根目录,都不执行了啊
lionz1023 2010-01-30
- 打赏
- 举报
我觉得一个很另类的防木马上传方法还是比较好玩的,防木马上传,开始显示防.asp扩展名,后来别人研究出.asa .cer 等格式,然后又加限制,ewebeditor又出了防扩展的过滤,结果有被研究出.aaspsp,现在好容易防过滤了,又出现了.asp;jpg,防不胜防啊,大众化的方法就是很容易被针对,说不定以后又爆出什么奇葩的上传格式能绕过检测呢。
ps:我们客户大部分主机都在中资源,他们不提供权限修改,没办法只能从代码层研究了。
另外bs下csdn, 怎么老提示还没登录!
ps:我们客户大部分主机都在中资源,他们不提供权限修改,没办法只能从代码层研究了。
另外bs下csdn, 怎么老提示还没登录!
街头小贩 2010-01-30
- 打赏
- 举报
我不用fck上传!最好别开开!除非服务器你可以配置
lionz1023 2010-01-30
- 打赏
- 举报
[Quote=引用 11 楼 xzy21com 的回复:]
关于xx.asp;.jpg 漏洞,大部分上传都会存在.
我在FCK上传里是设置是另存为形式,有效过滤;等符号
你的right(split(SanitizeFileName,".")(1),3 代码有点问题吧,因为后缀名不一定全是三位字符!
同样我也不建议使用FSO功能来查文件木马,一是可靠性不高,二是浪费资源,三是破坏作案现场...
[/Quote]
那老兄就blog里写过文章分享下你的方法!!
另存为也是需要判断扩展名的,我试着把扩展名分割,不过每次都得到的是.asp;.jpg ,无奈之下才暂时取了后三位,.asp;.jpg 你可以.分割取[1],但是.asp;jpg就不好取了。
现在那些马基本都差不多,只要不是批量上传,fso也是可以用的,上传同时扫描下上传文件应该不会浪费太多资源。木马后门里大部分也有一个功能是扫描木马功能,每次我都是先用他们这个扫描一下,挺好用的。
可靠性不高,可能有点吧。至于破坏现场,如果能正常删除木马,就不用去分析了。我觉得可以在删除程序前记录文件名和ip,然后结合日志就可以分析。
关于xx.asp;.jpg 漏洞,大部分上传都会存在.
我在FCK上传里是设置是另存为形式,有效过滤;等符号
你的right(split(SanitizeFileName,".")(1),3 代码有点问题吧,因为后缀名不一定全是三位字符!
同样我也不建议使用FSO功能来查文件木马,一是可靠性不高,二是浪费资源,三是破坏作案现场...
[/Quote]
那老兄就blog里写过文章分享下你的方法!!
另存为也是需要判断扩展名的,我试着把扩展名分割,不过每次都得到的是.asp;.jpg ,无奈之下才暂时取了后三位,.asp;.jpg 你可以.分割取[1],但是.asp;jpg就不好取了。
现在那些马基本都差不多,只要不是批量上传,fso也是可以用的,上传同时扫描下上传文件应该不会浪费太多资源。木马后门里大部分也有一个功能是扫描木马功能,每次我都是先用他们这个扫描一下,挺好用的。
可靠性不高,可能有点吧。至于破坏现场,如果能正常删除木马,就不用去分析了。我觉得可以在删除程序前记录文件名和ip,然后结合日志就可以分析。
csover8 2010-01-30
- 打赏
- 举报
最低层的做法就是禁止服务器的上传目录的运行脚本权限...
scscms太阳光 2010-01-24
- 打赏
- 举报
关于xx.asp;.jpg 漏洞,大部分上传都会存在.
我在FCK上传里是设置是另存为形式,有效过滤;等符号
你的right(split(SanitizeFileName,".")(1),3 代码有点问题吧,因为后缀名不一定全是三位字符!
同样我也不建议使用FSO功能来查文件木马,一是可靠性不高,二是浪费资源,三是破坏作案现场...
我在FCK上传里是设置是另存为形式,有效过滤;等符号
你的right(split(SanitizeFileName,".")(1),3 代码有点问题吧,因为后缀名不一定全是三位字符!
同样我也不建议使用FSO功能来查文件木马,一是可靠性不高,二是浪费资源,三是破坏作案现场...
mrshelly 2010-01-24
- 打赏
- 举报
唉.可怜的IIS...
KK3K2005 2010-01-24
- 打赏
- 举报
吧上传文件保存的目录的权限设置为不能运行脚本
onetwofree 2010-01-23
- 打赏
- 举报
有些提供商提供客户自行修改目录运行,写入权限设置的功能的。
但是有些就没有,而且连网站打包功能都没有。
如果虚拟主机不能设置,只能从代码层去改了。
但是有些就没有,而且连网站打包功能都没有。
如果虚拟主机不能设置,只能从代码层去改了。
lionz1023 2010-01-21
- 打赏
- 举报
[Quote=引用 5 楼 onetwofree 的回复:]
通常木马都不会明确的使用
sStr=" <%|.getfolder|.createfolder|.deletefolder|.createdirectory|.deletedirectory|.saveas|wscript.shell|script.encode|server.|.createobject|execute|activexobject|language="
这些字符。
可能createobject,它写成 execute "set a=create"+"object(""adodb.stream"")"
那么你的程序判断就实效了,应该从iis配置方面禁止上传目录的程序的执行。这样才能解决木马的问题。
[/Quote]
我分析了很多加密或者未加密密码 始终含有<%
加密木马 未<%@ LANGUAGE = VBScript.Encode %>
其他加密形式没怎么研究过。
因为很多客户主机都是租用了,主机提供商也很少去给你一个一个改iis配置。
上面的过滤是暂时办法,能禁止很大一部分木马文件。
通常木马都不会明确的使用
sStr=" <%|.getfolder|.createfolder|.deletefolder|.createdirectory|.deletedirectory|.saveas|wscript.shell|script.encode|server.|.createobject|execute|activexobject|language="
这些字符。
可能createobject,它写成 execute "set a=create"+"object(""adodb.stream"")"
那么你的程序判断就实效了,应该从iis配置方面禁止上传目录的程序的执行。这样才能解决木马的问题。
[/Quote]
我分析了很多加密或者未加密密码 始终含有<%
加密木马 未<%@ LANGUAGE = VBScript.Encode %>
其他加密形式没怎么研究过。
因为很多客户主机都是租用了,主机提供商也很少去给你一个一个改iis配置。
上面的过滤是暂时办法,能禁止很大一部分木马文件。
xzx99 2010-01-14
- 打赏
- 举报
关注
onetwofree 2010-01-13
- 打赏
- 举报
通常木马都不会明确的使用
sStr=" <%|.getfolder|.createfolder|.deletefolder|.createdirectory|.deletedirectory|.saveas|wscript.shell|script.encode|server.|.createobject|execute|activexobject|language="
这些字符。
可能createobject,它写成 execute "set a=create"+"object(""adodb.stream"")"
那么你的程序判断就实效了,应该从iis配置方面禁止上传目录的程序的执行。这样才能解决木马的问题。
sStr=" <%|.getfolder|.createfolder|.deletefolder|.createdirectory|.deletedirectory|.saveas|wscript.shell|script.encode|server.|.createobject|execute|activexobject|language="
这些字符。
可能createobject,它写成 execute "set a=create"+"object(""adodb.stream"")"
那么你的程序判断就实效了,应该从iis配置方面禁止上传目录的程序的执行。这样才能解决木马的问题。
anjing5566 2010-01-11
- 打赏
- 举报
上传页面加验证
上传后文件改名
上传后见文件移到么有执行权限的文件夹
lionz1023 2010-01-11
- 打赏
- 举报
测试录像地址:www.xuntuo.net/ls.rar
wbhggwk 2010-01-11
- 打赏
- 举报
s l
lzp4881 2010-01-11
- 打赏
- 举报
