全球主机交流论坛

标题: 年度大戏，ysfaka后门放在这里，大家看看是不是后门 [打印本页]

作者: 风铃 时间: 2019-10-18 23:12
标题: 年度大戏，ysfaka后门放在这里，大家看看是不是后门
本帖最后由风铃于 2019-10-18 23:34 编辑

鉴于某人不知廉耻，被我点出程序存在后门后依然跳出来咬人
https://hostloc-workers.ikyomon.com/thread-597377-1-1.html

现公布后门如下:
地址:
https://github.com/assimon/ysfaka/blob/9fdfbd0b0e36075969722bd68f6547ee0843b564/view/editor/php/upload_json.php#L24
代码:
'file' => array('doc', 'docx', 'xls', 'xlsx', 'ppt', 'txt', 'zip', 'rar', 'php', 'bz2'),

我来解释一下这行代码什么意思，这个文件本来是某个编辑器里面的上传脚本，本来是没有漏洞的，
但是被修改成允许上传php文件，因此可以直接上传PHP木马到服务器

好了，你说不是后门，那你倒是解释一下你把别人的编辑器上传代码的白名单里面加一个php后缀是几个意思？

文件是你自己写的也就罢了，你能编一编说是写错了，写了几十个后缀多写了个php，现在好了，这是别人的代码，你为什么要修改成允许上传php文件，居心何在？你可以说不是你改的？有人信吗？

至于怎么上传木马，直接给这个文件所在url，post一个PHP木马就行了，返回地址就是

作者: 三不 时间: 2019-10-18 23:13
路过了解下

作者: 欢子 时间: 2019-10-18 23:13
楼下有没有卖瓜子的来一包

作者: myseil 时间: 2019-10-18 23:13
我是来看戏的。。我不懂但是我要装懂

作者: 子月 时间: 2019-10-18 23:14
瓜子饮料有需要的吗？

作者: 逸笙 时间: 2019-10-18 23:14
看完回复，已经掉到地板下了

作者: skhtcxlo 时间: 2019-10-18 23:15
提示: 作者被禁止或删除内容自动屏蔽

作者: pandati 时间: 2019-10-18 23:15
前排混脸

作者: citywar 时间: 2019-10-18 23:15
卖瓜子花生矿泉水拉

作者: skyindreams 时间: 2019-10-18 23:18
遇高人岂可交臂而失之，看看孰对孰错。

作者: nogcp 时间: 2019-10-18 23:18
前排出售瓜子

作者: codeas 时间: 2019-10-18 23:18
你确定了这个php是我加的？我们赌个妈，老天再上，我主观恶意加这个php类型或者说我主观给云尚发卡程序留下后门，我死个妈。反之，你拿到我程序的一个验证小漏洞主观恶意猜测我故意留下后门你死个妈。赌不赌？

作者: lizh8791 时间: 2019-10-18 23:18
提示: 作者被禁止或删除内容自动屏蔽

作者: laulzgoay 时间: 2019-10-18 23:19

卖瓜子花生矿泉水拉

作者: strwei 时间: 2019-10-18 23:19
小桌板，小脚收一下，啤酒瓜子矿泉水

作者: San 时间: 2019-10-18 23:19
代码没有php的是不是自己加的？

作者: ApkB 时间: 2019-10-18 23:20
这个确实有很高的风险啊，完全一个**UG

作者: andguest 时间: 2019-10-18 23:20
这个的确不该。。。

作者: whiledone 时间: 2019-10-18 23:21
确实是个**ug

作者: 风铃 时间: 2019-10-18 23:23
本帖最后由风铃于 2019-10-18 23:35 编辑

codeas 发表于 2019-10-18 23:18
你确定了这个php是我加的？我们赌个妈，老天再上，我主观恶意加这个php类型或者说我主观给云尚发卡程序留下 ...

这叫小漏洞？这个文件是kindeditor的官方文件，大家不信的去官方下载对比一下，
你在修改成允许上传php文件有什么开发计划？
增加后台上传php功能？
你不怕笑死人吗？

这还不叫后门？那你告诉我后门张什么样，让我这个做web安全几年了的开开眼？

------
楼下老哥提供地址了，大家自己对比
https://github.com/kindsoft/kindeditor/blob/6e2d34e740e76c597cc56f99706d5dc706ed6e6a/php/upload_json.php.txt#L24

作者: 判官 时间: 2019-10-18 23:26
提示: 作者被禁止或删除内容自动屏蔽

作者: 1016797313 时间: 2019-10-18 23:26
后排出售瓜子花生矿泉水

作者: 水果大笨蛋 时间: 2019-10-18 23:26

看看看看

作者: wolfewong 时间: 2019-10-18 23:31
本帖最后由 wolfewong 于 2019-10-18 23:32 编辑

https://github.com/kindsoft/kindeditor/blob/master/php/upload_json.php.txt
看了一下KindEditor PHP原版，ysfaka的确多了php，这个是两年前加的，两年来都没修改过，不知道ysfaka当时是怎么想的

作者: Tracert 时间: 2019-10-18 23:31
本帖最后由 Tracert 于 2019-10-18 23:35 编辑

如果贴主所言非虚，这是典型的网页木马。请解释下php，怎么多出来的

作者: hellowz 时间: 2019-10-18 23:31
源代码没有这个漏洞，特意构造出这漏洞就有点意思了

作者: 洋葱葱 时间: 2019-10-18 23:38
这个问题确实很大

作者: reidme 时间: 2019-10-18 23:38
加PHP还不是故意？

作者: seafood_to 时间: 2019-10-18 23:41
吃瓜

作者: yidaomm 时间: 2019-10-18 23:44
风铃大佬，果真是安全方面的大佬~~问题中肯，虽然我还不是很懂~~
也请codeas大佬赶紧发布个安全的bug，必要是补充说明加php的初衷来止损，而不是赌天赌地,都9102了~~
还玩赌咒么，程序界滚荡多年的的大佬们~~

作者: ccc142 时间: 2019-10-18 23:56
风铃怼云尚好几次了阿

作者: kindlecon 时间: 2019-10-18 23:57
怎么会允许传PHP呢
这很明显的后门啊。

作者: Ruclinux 时间: 2019-10-19 00:01
很久没有看到技术大佬互怼了，依稀想起以前的caboo一人怼一群

作者: Effervescence 时间: 2019-10-19 00:02
我等菜鸟萌新进来瞅一瞅

作者: leven5 时间: 2019-10-19 00:06
很强，不如把所有后门都公布了给观众排排雷

作者: 风铃 时间: 2019-10-19 00:11

leven5 发表于 2019-10-19 00:06
很强，不如把所有后门都公布了给观众排排雷

除了彩虹那些随便百度搜一搜一大堆后门，

剩下的几个都不能算到后门里面了，
ysfaka这个没啥人用，公布打脸成本低，其他的我还要靠漏洞吃饭呢

作者: jq8778 时间: 2019-10-19 00:25
本帖最后由 jq8778 于 2019-10-19 00:35 编辑

你们啊,TOO YOUNG TOO SIMPLE,SOMETIMES NAIVE
你想想，人家都开源了，那还能怎么喷
就算是故意的，代码就在那，也算是人家给你说明过了啊

所以说，这种事关钱的东西，需要谨慎再谨慎，做到即使有后门，也做不了妖
比如，权限设置好了，有代码也传不上来嘛
执行权给对了，传上来也是个TEXT，执行不了嘛，我就限制原来的PHP能执行对吧
然后干掉PHP那一堆危险函数，什么SYSTEM，EVAL，POPEN，留一句话也不行，如果影响执行，需要逐行代码确认
最好再做个NGINX级别的URL过滤，防注入什么的
最好再把数据库和PHP做系统级分离，然后数据库端写个二次验证什么的，取危险数据的时候，需要走指定的接口二次验证，接口API修改，做到万无一失

作者: 貂蝉隔壁老吕 时间: 2019-10-19 00:46
提示: 作者被禁止或删除内容自动屏蔽

作者: 感谢6686大佬 时间: 2019-10-19 07:09
这一般人谁看的出来这个漏洞直到被偷号

作者: leasr 时间: 2019-10-19 07:13
可以的，lz观察很仔细呀

作者: 四叶草 时间: 2019-10-19 08:46
这尼玛大佬
源码一行行看啊？
还是自己写了工具检测？

作者: 随波逐流 时间: 2019-10-19 09:00
这个厉害了啊，有点可怕

作者: 风铃 时间: 2019-10-19 09:00

四叶草发表于 2019-10-19 08:46
这尼玛大佬
源码一行行看啊？
还是自己写了工具检测？

手动看出来的，不用一行行，一目十行这种

作者: o(╥﹏╥)o 时间: 2019-10-19 11:07
学习了~~~

作者: addtool 时间: 2019-10-19 11:27
如果质疑的和被质疑的都是利益方，那么质疑拿出依据，被质疑反驳也拿出依据。
就这样吧、

作者: art 时间: 2019-10-19 11:44
提示: 作者被禁止或删除内容自动屏蔽

作者: 快乐的小鲜肉 时间: 2019-10-19 12:34

风铃发表于 2019-10-19 00:11
除了彩虹那些随便百度搜一搜一大堆后门，

剩下的几个都不能算到后门里面了，

大佬彩虹代刷哪个漏洞多吗？

作者: 嘀嘀嘀快上车 时间: 2019-10-19 13:00

瓜子饮料有需要的吗？

欢迎光临全球主机交流论坛 (https://hostloc-workers.ikyomon.com/)