出处:yxshop脆弱易商城漏洞危害:黑客可以
控制网站yxshop,容易认为购物中心是中国第一个
开源的商城
系统,其内置的
文件编辑器FCKeditor。
有严重的
上传漏洞(yxshop使用下面的FCKeditor编辑器2.4版本,版本和下面的FCKeditor编辑器2.4版已上传漏洞)。黑客可以上传aspx木马得到webshell控制整个网站。
试验
方法如下:首先,基于由;YxShop关键词
搜索,你可以找到很多使用yxshop商城系统建立一个网站,以小网站选择一个排名,因为排在前面的站点已经被许多黑客访问。
To find the target, add the following command in its website domain name: controls/fckeditor/editor/filemanager/browser/default/browser.html Type=../Connector=connectors/aspx/connector.aspx is not a page you can upload files accidentally open the Fckeditor editor, the first thing ready ASPX Trojan can upload up (Figure 1).
图1
一些
管理者知道的漏洞和可能
删除connector.aspx文件来防止黑客的入侵,但黑客仍然可以构建
本地提交页面上传文件,
创建一个新的记事本,
输入如下:
上传一个新文件:
U3000 U3000
U3000 U3000
将文件
保存为test.html,之后
双击,你可以上传aspx木马,可以通过上传webshell的aspx木马获得的,在这一点上,整个现场已被抓获(图2)。
图2
因为yxshop本身没有漏洞,问题是在fckeditor编辑器,所以只要我们过程的fckeditor编辑器,我们可以防止网站被入侵。有两种方法来
处理它。
FCKeditor编辑器彻底删除。
升级到2.4以上版本的FCKeditor编辑器。