今日和代码族群主在群里闲聊,群友聊到了一个关于后门的事情,群主当时在群里提了部分程序官方就自带有漏洞,列举了一部分程序,里面有我正在使用的龙兵名片系统,于是和群主进行了沟通,了解漏洞的原理以及修复方法,于是想到了记录在这里,一方面作为自己的笔记,另一方面如果有网友也遇到了类似的问题,那么可以作为参考去解决。
具体的漏洞为龙兵的附件上传功能,可以直接上传PHP文件,可以将php木马直接上传到服务器,然后通过浏览器运行即可。
这样就能在服务器里面为所欲为了,实在比较恐怖。
那么怎么修复呢,只要禁止web端往服务器里面上传php文件就可以封堵这个漏洞了。
修改方案如下:
修改nginx.conf配置文件
禁止单目录:
location ~* ^/attachments/.*.(php|PHP|php5)$ {
deny all;
}
禁止多目录:
location ~* ^/(attachments|upload)/.*.(php|PHP|php5)$ {
deny all;
}
需要注意两点:
1、以上的配置文件代码需要放到 location ~ .php{...}上面,如果放到下面是无效的
2、attachments需要写相对路径,不能写绝对路径
如果是宝塔用户,那么直接在宝塔的站点设置里面的配置文件里,加入上述代码即可
添加了之后,漏洞修补完毕!
1. 本站所有资源来源于用户上传和网络,因此不包含技术服务请大家谅解!如有侵权请邮件联系客服!3165260857@qq.com
2. 本站不保证所提供下载的资源的准确性、安全性和完整性,资源仅供下载学习之用!如有链接无法下载、失效或广告,请联系客服处理,有奖励!
3. 您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容资源!如用于商业或者非法用途,与本站无关,一切后果请用户自负!
4. 如果您也有好的资源或教程,您可以投稿发布,成功分享后有站币奖励和额外收入!
三优资源网 » 龙兵智能名片上传漏洞修复教程,独立版和微擎版都有此漏洞
2. 本站不保证所提供下载的资源的准确性、安全性和完整性,资源仅供下载学习之用!如有链接无法下载、失效或广告,请联系客服处理,有奖励!
3. 您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容资源!如用于商业或者非法用途,与本站无关,一切后果请用户自负!
4. 如果您也有好的资源或教程,您可以投稿发布,成功分享后有站币奖励和额外收入!
三优资源网 » 龙兵智能名片上传漏洞修复教程,独立版和微擎版都有此漏洞
常见问题FAQ
- 免费下载或者VIP会员专享资源能否直接商用?
- 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
- 提示下载完但解压或打开不了?
- 找不到素材资源介绍文章里的示例图片?
- 三优资源网
