龙兵智能名片上传漏洞修复教程，独立版和微擎版都有此漏洞

龙兵名片系统了解漏洞的原理以及修复方法，记录在这里，一方面作为自己的笔记，另一方面如果有网友也遇到了类似的问题，那么可以作为参考去解决。

具体的漏洞为龙兵的附件上传功能，可以直接上传PHP文件，可以将php木马直接上传到服务器，然后通过浏览器运行即可。

这样就能在服务器里面为所欲为了，实在比较恐怖。

那么怎么修复呢，只要禁止web端往服务器里面上传php文件就可以封堵这个漏洞了。

修改方案如下：

修改nginx.conf配置文件


禁止单目录：

location ~* ^/uploads/.*\.(php|php5)$ {  deny all; }

禁止多目录：

location ~* ^/(attachments|uploads)/.*\.(php|php5)$ { deny all; }

搜集一点常用的文件夹格式

location ~* ^/(store|storage|attachments|uploads|attachment|upload)/.*\.(php|php5)$ { 
deny all;
}
需要注意两点：
1、以上的配置文件代码需要放到 location ~ .php{...}上面，如果放到下面是无效的

2、attachments需要写相对路径，不能写绝对路径

如果是宝塔用户，那么直接在宝塔的站点设置里面的配置文件里，加入上述代码即可

添加了之后，漏洞修补完毕！