关于最近AJE安全发布的《最新某塔主机分销系统0day》声明

昨天晚上收到了网友转发的一篇《最新Bty主机分销系统0 day漏洞》
里面提到了宝塔主机可通过ftp编辑.user.ini文件实现跨站提权安全漏洞，小杰第一时间进行了漏洞复现，发现在操作ftp时无法编辑和覆盖.user.ini文件


字面意思就是没有权限，因为.user.ini文件是root权限组，ftp不能进行编辑，至于AJE项目组是如何实现的，本人有两点猜测
1、非最新版宝塔面板
2、未知
ftp提权的漏洞本人无法复现后，就联系了及时AJE官方进行反馈，跟官方积极反馈后，AJE进行了文章修订

文中的意思是，进行抓包，可手动post删除指定path的文件，但是经过小杰几次核对代码，都可以确定，AJE官方文章中提到的宝塔主机程序，非小杰制作的，因为小杰早在2019年就修复了该bug，无论是bty3、bty5、bthost都不会存在该漏洞。


而且文中提到的index/file_data.html路径也与本人制作的相关程序不一致。
由此可以确定该AJE官方测试发现的漏洞经过我所有内容均无法成功复现。
总结：由于AJE安全组的测试让大家第一时间想到了bty，这次确实是冤枉小杰了，bty的安全目前还是有一定的保障的。希望其他同行能跟进宝塔主机的安全相关内容。让用户能安心。

Ps：有人进行安全测试，作为开发者我很高兴，毕竟术业有专攻，我只能尽可能避免出现漏洞，但是不能完全没有漏洞，感谢AJE的考验。
作为比较早接触和实现宝塔主机分销的我，维护和更新了两年，收到很多网友反馈的提权、安全等漏洞，注重安全肯定是第一位，bty经历两年众多网友测试，目前已初具稳定。宝塔主机并没有网传的那么危险，也希望同行们能跟上安全的脚步，毕竟如果要线上应用，肯定要先保证安全性。
最后感谢宝塔官方，在我两年的开发下不断配合和沟通，让bty宝塔主机程序越来越好，越来越稳定，还免费提供了一些技术支持，让宝塔主机可以有更大的发展空间。

天无神话 发表于 2021-3-7 17:03
可我怎么记得AJE原文章指名道姓的写bty，这不是嫁祸吗

作者不谨慎导致，官方已致歉，我也不再追究了。

不错，赞一个

话说 AJE是啥