[重要]upfile.asp漏洞
似乎大多数有附件上传功能的BBS都有这个漏洞。漏洞危害:
1.用户可以随意建目录。
2.用户可以上传任意后缀名的文件。
在Upload.asp文件中造成漏洞的代码:
if not MyFso.folderExists(up_path) then
set up_path=MyFso.CreateFolder(up_path)
end if
意思就是上传目录不存在,就会自动建立。
具体利用这个漏洞入侵的办法偶就不说了。
如果论坛的upfile.asp如果存在这个代码,请尽快进行升级或者修改。
利用这个漏洞可以很容易地进行植入ASP后门,并进一步得知文件的在磁盘的真实路径。进一步了解网站的具体结构……后面的偶就不说了~~
回复: [重要]upfile.asp漏洞
小心后门的隐藏:先修改本机时间,然后分别编辑两个木马,使其中一个木马文件的时间与论坛中文件一致,另一个当靶子。
这样管理员是非常难以发现这个木马隐藏的木马的。
同时,也有可能修改木马文件名,改成与论坛中的文件名相类似,把它放在“backup(论坛备份)”或“images(图片)”目录下,利用Attrib命令给文件加上只读、隐藏属性,这样论坛管理员往往就不会发现后门。
这个漏洞已知存在在:动网7.0版本、 乔客6.0。
最近各个黑客网站都放出了利用这个漏洞进行攻击的教程,斑竹们小心啊~~~
回复: [重要]upfile.asp漏洞
这个我知道了,呵呵回复: [重要]upfile.asp漏洞
好象只对动网的论坛有用吧....而且动网有对应补丁的~~
回复: [重要]upfile.asp漏洞
按代码的意思理解……就算不是动网的版本,也同样有可能出现这个漏洞。
回复: [重要]upfile.asp漏洞
各种各样的论坛都会有漏洞,就看你能不能发现了。回复: [重要]upfile.asp漏洞
引用残的话"只要开着就会有漏洞"...............
页:
[1]