【漏洞与预防】畅捷通文件上传漏洞预防

原创 solarsec solar应急响应团队 2025-04-17 06:22

1.典型案例

本次案例参考去年3月期间TellYouThePass勒索病毒家族常用的攻击手法，关于该家族的病毒分析详情可参考
【病毒分析】locked勒索病毒分析

。

2.场景还原

2.1场景设置

在本次模拟攻击场景中，攻击者首先利用畅捷通CNVD-2022-60632文件上传漏洞上传Webshell，实施勒索病毒加密，完成整个攻击链的模拟。

2.2攻击路线图

2.3攻击复现

使用哥斯拉生成Webshell。

因为畅捷通T+程序都使用了预编译，所以上传的shell也需要先进行预编译处理：

CMD执行

C:\Windows\Microsoft.NET\Framework\v4.0.30319>aspnet_compiler.exe -v / -p C:\Users\Anonymous\Desktop\test C:\Users\Anonymous\Desktop\test1 -fixednamesC:\Users\Anonymous\Desktop\test 为webshell存在目录C:\Users\Anonymous\Desktop\test1 为编译后文件生成目录

构造CNVD-2022-66032数据包，将webshell上传至网站根目录：

之后将编译好的文件上传至畅捷通的bin目录下。

访问/tplus/shell.aspx?preload=1成功触发webshell。

可直接获取system权限。

3.漏洞详情

3.1漏洞名称

畅捷通任意文件上传漏洞。

3.2漏洞类型

文件上传漏洞。

3.3漏洞描述

该漏洞发布于2022年8月，未经身份认证的攻击者利用该漏洞，通过绕过系统鉴权，在特定配置环境下实现任意文件的上传，从而执行任意代码，获得服务器控制权限。目前，已有用户被不法分子利用该漏洞进行勒索病毒攻击的情况出现，常见利用该漏洞进行勒索的病毒家族有：mallox、tellyouthepass
等。

4.应急响应排查

4.1初始访问

初始访问使用过用友畅捷通文件上传漏洞实现的，威胁行为者主要通过CNVD-2022-60632完成入侵，排查web日志发现存在大量的webshell连接行为：

在继续排查过程中发现webshell为冰蝎木马。

4.2释放勒索病毒

之后上传加密器完成数据加密操作。

5.防范措施

一、输入验证与过滤

1.严格文件类型检查
– 白名单机制：仅允许特定扩展名（如.pdf, .docx, .jpg
）上传，拒绝其他类型。

• MIME类型验证：服务器端校验文件的真实MIME类型（如PDF对应application/pdf
  ），而非依赖客户端提交的类型。

• 文件头检查：通过读取文件头部字节（如PDF以%PDF-
  开头），防止伪造扩展名。

2.文件内容扫描
– 使用杀毒软件（如ClamAV）扫描上传文件，检测恶意代码。

• 对图片文件进行二次渲染（如ImageMagick处理），避免嵌入恶意脚本。

3.限制文件大小
– 设置合理的上传大小上限（如10MB），防止大文件攻击或资源耗尽。

二、存储与权限控制

1.隔离存储路径
– 将上传文件存放在Web根目录外的独立目录，避免直接通过URL访问。

• 示例：/var/uploads/
   而非 /var/www/html/uploads/
  。

2.重命名文件
– 生成随机文件名（如UUID），避免攻击者猜测路径。

• 移除文件扩展名或强制改为静态类型（如.txt
  ）。

3.权限最小化
– 上传目录设置为不可执行（Linux下chmod 644
），禁止脚本解析。

• 禁用目录浏览功能，防止攻击者遍历文件。

三、服务器与配置加固

1.禁用危险MIME类型
– 在Web服务器（Nginx/Apache）中禁止解析高风险扩展名（如.php, .jsp
）。

• Nginx示例：

location ~* \.(php|jsp)$ {    deny all;}

2.设置HTTP安全头
– 添加Content-Disposition: attachment
强制下载，阻止浏览器直接渲染文件。

• 使用CSP（内容安全策略）限制资源加载。

3.更新与补丁管理
– 定期升级畅捷通系统及依赖框架（如Java Spring、PHP），修复已知漏洞。

四、日志与监控

1.记录上传行为
– 记录上传者的IP、时间、文件名、类型等信息，便于追溯攻击来源。

2.实时监控异常
– 设置告警机制，检测高频上传、异常文件类型等行为。

五、其他防护手段

1.使用CDN或云存储
– 将文件存储至第三方服务（如阿里云OSS），通过其安全策略（如防盗链、MIME校验）降低风险。

2.定期安全测试
– 进行渗透测试和代码审计，重点检查文件上传逻辑。

3.输入验证前端+后端双重校验
– 前端做初步过滤（如限制文件类型），但后端必须独立验证，避免绕过。

以下是solar安全团队近期处理过的常见勒索病毒后缀：

收录时间	病毒家族	相关文章
2025/01/14	medusalocker	【病毒分析】深入剖析MedusaLocker勒索家族：从密钥生成到文件加密的全链路解析
2025/01/15	medusa	【病毒分析】“美杜莎”勒索家族：从入侵到结束的全流程深度解析
2024/12/11	weaxor	【病毒分析】新崛起的weaxor勒索家族：疑似mallox家族衍生版，深度解析两者关联！
2024/10/23	RansomHub	【病毒分析】Ransom Hub:唯一不攻击中国的2024全球Top1勒索家族——ESXi加密器深度解析
2024/11/23	Fx9	【病毒分析】Fx9家族首次现身！使用中文勒索信，熟练勒索谈判
2024/11/04	Makop	【病毒分析】揭秘.mkp后缀勒索病毒！Makop家族变种如何进行可视化加密？
2024/06/26	moneyistime	【病毒分析】使用中文勒索信及沟通：MoneyIsTime 勒索家族的本地化语言转变及其样本分析
2024/04/11	babyk	【病毒分析】BabyK加密器分析-Windows篇 【病毒分析】Babyk加密器分析-NAS篇 【病毒分析】Babyk加密器分析-EXSI篇 【病毒分析】Babuk家族babyk勒索病毒分析 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目
2024/09/29	lol	【病毒分析】全网首发！全面剖析.LOL勒索病毒，无需缴纳赎金，破解方案敬请期待下篇！ 【工具分享】.LOL勒索病毒再也不怕！完整破解教程分享+免费恢复工具首发
2024/06/10	MBRlock	【病毒分析】假冒游戏陷阱：揭秘MBRlock勒索病毒及其修复方法
2024/06/01	Rast gang	【病毒分析】Steloj勒索病毒分析
2024/06/01	TargetOwner	【病毒分析】技术全面升级，勒索赎金翻倍，新版本TargetOwner勒索家族强势来袭？
2024/11/02	Lockbit 3.0	【病毒分析】Lockbit家族Lockbit 3.0加密器分析 【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告 【病毒分析】繁体勒索信暗藏玄机！要价50万RMB赎金的Lockbit泄露版分析
2024/05/15	wormhole	【病毒分析】Wormhole勒索病毒分析
2024/03/20	tellyouthepass	【病毒分析】locked勒索病毒分析 【病毒分析】中国人不骗中国人？_locked勒索病毒分析
2024/03/01	lvt	【病毒分析】交了赎金也无法恢复–针对国内某知名NAS的LVT勒索病毒最新分析
2024/03/04	phobos	【病毒分析】phobos家族2700变种加密器分析报告 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目 【病毒分析】phobos家族faust变种加密器分析 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 【病毒分析】phobos家族Elbie变种加密器分析报告
2024/03/28	DevicData	【病毒分析】DevicData勒索病毒分析 【病毒分析】DevicData家族扩散：全球企业和机构成为勒索病毒头号攻击目标！
2024/02/27	live	【病毒分析】独家揭秘LIVE勒索病毒家族之1.0（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之1.5（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之2.0（全版本可解密）
2024/08/16	CryptoBytes	【独家破解】揭秘境外黑客组织的20美元锁机病毒：深度逆向分析+破解攻略！赎金？给你付个🥚
2024/03/15	mallox	【病毒分析】mallox家族malloxx变种加密器分析报告 【病毒分析】Mallox勒索家族新版本：加密算法全面解析 【病毒分析】全网首发！袭扰国内top1勒索病毒家族Mallox家族破解思路及技术分享 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 【病毒分析】mallox家族rmallox变种加密器分析报告 【病毒分析】Mallox家族再进化：首次瞄准Linux，勒索新版本全面揭秘！
2024/07/25	BeijngCrypt	【病毒分析】全网首发！以国内某安全厂商名字为后缀的勒索病毒分析
2025/03/11	银狐	【病毒分析】潜伏在AI工具中的幽灵：银狐家族社工攻击的深度剖析
2025/03/07	CTF赛题	【病毒分析】伪造微软官网+勒索加密+支付威胁，CTF中勒索病毒解密题目真实还原！ 【病毒分析】2024年网鼎杯朱雀组REVERSE02——关于勒索木马解密详解

勒索攻击作为成熟的攻击手段，很多勒索家族已经形成了一套完整的商业体系，并且分支了很多团伙组织，导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同，TellYouThePass勒索软件家族常常利用系统漏洞进行攻击；Phobos勒索软件家族通过RDP暴力破解进行勒索；Mallox勒索软件家族利用数据库及暴力破解进行加密，攻击手法极多防不胜防。

时间	相关文章
2024/12/12	【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第二篇-流量致盲，无声突破
2024/12/11	【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第一篇-驱动漏洞一击致命

而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份，在其基础上加强公司安全人员意识。

时间	相关文章
2024/06/27	【教程分享】勒索病毒来袭！教你如何做好数据防护
2024/06/24	【教程分享】服务器数据文件备份教程

---

案例介绍篇
聚焦于真实的攻击事件，还原病毒家族的攻击路径和策略，为用户提供详细的溯源分析和防护启示；

时间	相关文章
2024/06/27	【案例介绍】赎金提高，防御失效：某上市企业两年内两度陷入同一勒索团伙之手
2024/01/26	【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目
2024-03-13	【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目
2024-04-01	【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目
2024-04-26	【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目
2024-05-17	【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵
2024-11-28	【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告

---

漏洞与预防篇
侧重于技术层面的防御手段，针对病毒利用的漏洞和安全弱点，提出操作性强的应对方案：

时间	相关文章
2025/01/08	【漏洞与预防】RDP弱口令漏洞预防
2025/01/21	【漏洞与预防】MSSQL数据库弱口令漏洞预防
2025/02/18	【漏洞与预防】远程代码执行漏洞预防
2025/04/10	【漏洞与预防】Atlassian Confluence存在远程代码执行漏洞

---

应急响应工具教程篇
重点分享应急响应过程中常用工具的安装、配置与使用说明，旨在帮助读者快速掌握这些工具的操作流程与技巧，提高其在实际应急场景中的应用熟练度与效率。

时间	相关文章
2025/01/10	【应急响应工具教程】Splunk安装与使用
2025/02/07	【应急响应工具教程】取证工具-Volatility安装与使用
2025/02/20	【应急响应工具教程】流量嗅探工具-Tcpdump
2025/02/26	【应急响应工具教程】一款精准搜索文件夹内容的工具–FileSeek
2025/03/03	【应急响应工具教程】一款自动化分析网络安全应急响应工具–FindAll
2025/03/13	【应急响应工具教程】Windows 系统操作历史监控与审计工具-LastActivityView
2025/03/20	【应急响应工具教程】镜像取证之挂载镜像——Arsenal Image Mounter
2025/04/03	【应急响应工具教程】Windows 系统综合排查工具Hawkeye
2025/04/08	【应急响应工具教程】Linux下应急响应工具whohk

如果您想了解有关勒索病毒的最新发展情况，或者需要获取相关帮助，请关注“solar专业应急响应团队”。

更多资讯 扫码加入群组交流

喜欢此内容的人还喜欢

【应急响应工具教程】Windows 系统综合排查工具Hawkeye

索勒安全团队

2025-3月Solar应急响应公益月赛排名及官方题解

索勒安全团队

【病毒分析】伪造微软官网+勒索加密+支付威胁，CTF中勒索病毒解密题目真实还原！

索勒安全团队