【漏洞与预防】畅捷通文件上传漏洞预防
好,我需要帮用户总结这篇文章的内容,控制在100字以内。首先,文章主要讲的是畅捷通的任意文件上传漏洞,这个漏洞被勒索病毒家族利用进行攻击。攻击者通过上传Webshell,最终控制服务器。 接下来,文章详细描述了攻击过程,包括如何利用漏洞上传文件、编译处理以及触发webshell。然后,漏洞详情部分解释了漏洞的类型和影响,提到了已经有用户遭受攻击的情况。 应急响应部分介绍了如何排查初始访问和释放勒索病毒的情况。最后,防范措施从输入验证、存储权限、服务器配置、日志监控等多个方面给出了建议。 总结时要涵盖漏洞的利用、攻击过程、漏洞影响以及防范措施。确保内容简洁明了,不超过100字。 </think> 文章分析了畅捷通任意文件上传漏洞被勒索病毒家族利用的案例,详细描述了攻击者通过上传Webshell控制服务器的过程,并提出了严格的输入验证、存储隔离、权限控制等防范措施以应对此类安全威胁。 2025-12-25 09:49:9 Author: www.freebuf.com(查看原文) 阅读量:0 收藏

freeBuf

主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

1.典型案例

本次案例参考去年3月期间TellYouThePass勒索病毒家族常用的攻击手法,关于该家族的病毒分析详情可参考【病毒分析】locked勒索病毒分析

2.场景还原

2.1场景设置

在本次模拟攻击场景中,攻击者首先利用畅捷通CNVD-2022-60632文件上传漏洞上传Webshell,实施勒索病毒加密,完成整个攻击链的模拟。

2.2攻击路线图

image.png

2.3攻击复现

使用哥斯拉生成Webshell。

image.png

因为畅捷通T+程序都使用了预编译,所以上传的shell也需要先进行预编译处理:

CMD执行

C:\Windows\Microsoft.NET\Framework\v4.0.30319>aspnet_compiler.exe -v / -p C:\Users\Anonymous\Desktop\test C:\Users\Anonymous\Desktop\test1 -fixednames

C:\Users\Anonymous\Desktop\test 为webshell存在目录
C:\Users\Anonymous\Desktop\test1 为编译后文件生成目录

image.png

构造CNVD-2022-66032数据包,将webshell上传至网站根目录:

image.png

之后将编译好的文件上传至畅捷通的bin目录下。

image.png

访问/tplus/shell.aspx?preload=1成功触发webshell。

image.png

可直接获取system权限。

image.png

3.漏洞详情

3.1漏洞名称

畅捷通任意文件上传漏洞。

3.2漏洞类型

文件上传漏洞。

3.3漏洞描述

该漏洞发布于2022年8月,未经身份认证的攻击者利用该漏洞,通过绕过系统鉴权,在特定配置环境下实现任意文件的上传,从而执行任意代码,获得服务器控制权限。目前,已有用户被不法分子利用该漏洞进行勒索病毒攻击的情况出现,常见利用该漏洞进行勒索的病毒家族有:mallox、tellyouthepass等。

4.应急响应排查

4.1初始访问

初始访问使用过用友畅捷通文件上传漏洞实现的,威胁行为者主要通过CNVD-2022-60632完成入侵,排查web日志发现存在大量的webshell连接行为:

image.png

在继续排查过程中发现webshell为冰蝎木马。

image.png

4.2释放勒索病毒

之后上传加密器完成数据加密操作。

image.png

5.防范措施

一、输入验证与过滤

1.严格文件类型检查

  • 白名单机制:仅允许特定扩展名(如.pdf, .docx, .jpg)上传,拒绝其他类型。

  • MIME类型验证:服务器端校验文件的真实MIME类型(如PDF对应application/pdf),而非依赖客户端提交的类型。

  • 文件头检查:通过读取文件头部字节(如PDF以%PDF-开头),防止伪造扩展名。

2.文件内容扫描

  • 使用杀毒软件(如ClamAV)扫描上传文件,检测恶意代码。

  • 对图片文件进行二次渲染(如ImageMagick处理),避免嵌入恶意脚本。

3.限制文件大小

  • 设置合理的上传大小上限(如10MB),防止大文件攻击或资源耗尽。

二、存储与权限控制

1.隔离存储路径

  • 将上传文件存放在Web根目录外的独立目录,避免直接通过URL访问。

  • 示例:/var/uploads/而非/var/www/html/uploads/

2.重命名文件

  • 生成随机文件名(如UUID),避免攻击者猜测路径。

  • 移除文件扩展名或强制改为静态类型(如.txt)。

3.权限最小化

  • 上传目录设置为不可执行(Linux下chmod 644),禁止脚本解析。

  • 禁用目录浏览功能,防止攻击者遍历文件。

三、服务器与配置加固

1.禁用危险MIME类型

  • 在Web服务器(Nginx/Apache)中禁止解析高风险扩展名(如.php, .jsp)。

  • Nginx示例:

location ~* \.(php|jsp)$ {
    deny all;
}

2.设置HTTP安全头

  • 添加Content-Disposition: attachment强制下载,阻止浏览器直接渲染文件。

  • 使用CSP(内容安全策略)限制资源加载。

3.更新与补丁管理

  • 定期升级畅捷通系统及依赖框架(如Java Spring、PHP),修复已知漏洞。

四、日志与监控

1.记录上传行为

  • 记录上传者的IP、时间、文件名、类型等信息,便于追溯攻击来源。

2.实时监控异常

  • 设置告警机制,检测高频上传、异常文件类型等行为。

五、其他防护手段

1.使用CDN或云存储

  • 将文件存储至第三方服务(如阿里云OSS),通过其安全策略(如防盗链、MIME校验)降低风险。

2.定期安全测试

  • 进行渗透测试和代码审计,重点检查文件上传逻辑。

3.输入验证前端+后端双重校验

  • 前端做初步过滤(如限制文件类型),但后端必须独立验证,避免绕过。

本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)


文章来源: https://www.freebuf.com/articles/vuls/463811.html
如有侵权请联系:admin#unsafe.sh