0
文章作者:千寂孤城
信息来源:邪恶八进制信息安全团队
前几天一个朋友叫我帮他做安全检测,他的站用的是ACMS信息发布系统。我到官方down了一套ACMS来研究。
ACMS前台全是由后台生成的静态页面,不存在注入漏洞。后台自带FCKeditor,在FCK的目录下有一个test.html文件(具体路径:admin/editor/filemanager/browser/default/connectors/test.html)。此页面用于上传文件但是没有身份验证。上传文件不能是asp文件,但由于对上传文件名称过滤不严格,通过经典的抓包修改即可上传asp文件,而且实际上asa等文件是可以直接上传的:)。上传后的目录为根目录下/up-files/file/,并无执行权限,所以直接上传木马是无效的,然而同样是因为对上传文件名的过滤不严,通过抓包修改可以在文件名前加上../等符号,将木马上传到任意目录。
修补方法:删掉test.html。
其实FCKeditor一直就是个不太安全的东西,就算没有test.html,通过访问“admin/editor/filemanager/browser/default/browser.html?type=/&connetctor=connectors/asp/connector.asp”这个路径同样可以绕过限制直接上传文件。因此建议将FCK全部删掉。
[1] |
用户登录 
新用户注册
文章评论(评论内容只代表网友观点,与本站立场无关!) 【发表评论】
苏ICP备05042773号