(分享)fckeditor爆出上传漏洞,个人暂时解决办法。
今天一个客户站被传木马,是fck2.6.1版本,经分析上传文件为,1234.asa;jpg,查资料发现fck已经对.asp做过处理,.asp改为_asp(自定义文件夹是这样修改的),这样就避免了黑客通过123.asp/11.jpg来上传(题外话)。
测试自己手动修改一个木马为xx.asa;jpg提示上传不正确但是不知道,他传的这个文件到底是做过怎么处理,居然能上传。
上传后文件名为日期.asa;jpg(我个人定义上传文件格式为日期型),由于03iis解析漏洞,ie浏览此文件木马正常运行(怕)。
个人暂时解决办法,editor\filemanager\connectors\asp\io.asp,
找到代码SanitizeFileName = GetNewFileName()&"."&split(SanitizeFileName,".")(1)
修改为:SanitizeFileName = GetNewFileName()&"."&right(split(SanitizeFileName,".")(1),3)
这样上传文件就成为了日期.文件后三位。
这样木马虽然上传上去,但是却不能按.asp或者.asa解析了。
现在想,可以进一步做处理,加入代码:
kill=你的图片路径&SanitizeFileName
set MyFile = server.CreateObject("Scripting.FileSystemObject")
set MyText = MyFile.OpenTextFile(Server.mappath(kill), 1) '读取文本文件
sTextAll = lcase(MyText.ReadAll)
MyText.close
set MyFile = nothing
sStr="<%|.getfolder|.createfolder|.deletefolder|.createdirectory|.deletedirectory|.saveas|wscript.shell|script.encode|server.|.createobject|execute|activexobject|language="
sNoString = split(sStr,"|")
for i=0 to ubound(sNoString)
if instr(sTextAll,sNoString(i)) then
set filedel = server.CreateObject("Scripting.FileSystemObject")
filedel.deletefile Server.mappath(kill)
set filedel = nothing
Response.Write("<script>alert('您上传的文件有问题,上传失败!同时您这项可疑操作已被本站记录。');history.back();</script>")
Response.End
end if
next
来对图片内容进行限制,如果发现限制过严,可以修改限制字符串。
木马文件我已经压缩: 地址--www.xuntuo.net/1234.rar.
里面的文件可以自己去测试。不过我按他的那种命名方式不知道为什么fck就不能上传,而他这个文件就可以。
欢迎有更好解决办法都朋友分享下。