[重要]upfile.asp漏洞

Tia

似乎大多数有附件上传功能的BBS都有这个漏洞。
    漏洞危害：
　　1．用户可以随意建目录。
    2．用户可以上传任意后缀名的文件。
在Upload.asp文件中造成漏洞的代码：
if not MyFso.folderExists(up_path) then
    set up_path=MyFso.CreateFolder(up_path)
end if

意思就是上传目录不存在，就会自动建立。
具体利用这个漏洞入侵的办法偶就不说了。
如果论坛的upfile.asp如果存在这个代码，请尽快进行升级或者修改。

利用这个漏洞可以很容易地进行植入ASP后门，并进一步得知文件的在磁盘的真实路径。进一步了解网站的具体结构……后面的偶就不说了~~

Tia

小心后门的隐藏：
先修改本机时间，然后分别编辑两个木马，使其中一个木马文件的时间与论坛中文件一致，另一个当靶子。
这样管理员是非常难以发现这个木马隐藏的木马的。
同时，也有可能修改木马文件名，改成与论坛中的文件名相类似，把它放在“backup(论坛备份)”或“images（图片）”目录下，利用Attrib命令给文件加上只读、隐藏属性，这样论坛管理员往往就不会发现后门。

这个漏洞已知存在在：动网7.0版本、 乔客6.0。

最近各个黑客网站都放出了利用这个漏洞进行攻击的教程，斑竹们小心啊~~~

vaio

这个我知道了，呵呵

Nicole

好象只对动网的论坛有用吧....

而且动网有对应补丁的~~

Tia

按代码的意思理解……

就算不是动网的版本，也同样有可能出现这个漏洞。

上杉和也

各种各样的论坛都会有漏洞，就看你能不能发现了。

DT·conan

引用残的话"只要开着就会有漏洞"...............