5G確定性工業(yè)基站首商用,工業(yè)互聯(lián)網(wǎng)走上新高度李飛飛團(tuán)隊(duì)前瞻性研究 多模態(tài)AI模型初顯空間智能AI終于邁過(guò)這道檻!Livekit 開源模型精準(zhǔn)識(shí)別“你是否說(shuō)完”!DeepSeek開源大模型開發(fā)者之一羅福莉?qū)⒓用诵∶?/a>廣汽詳解旗下首款復(fù)合翼飛行汽車 GOVY AirJet:最高飛行速度可達(dá) 250km/h清華大學(xué)聯(lián)合騰訊出品!ColorFlow:自動(dòng)給黑白漫畫上色,保持角色一致性Adobe推新AI音頻具Sketch2Sound ,只需哼唱和模仿聲音就能創(chuàng)建音效家庭能源智聯(lián)自由 海辰儲(chǔ)能發(fā)布首套免安裝家庭微網(wǎng)系統(tǒng)HeroESOpenAI發(fā)布o(jì)3:AI 推理能力的重大突破,得分高達(dá)87.5%亞馬遜云科技推出Amazon Q Developer新功能小象超市,摸著美團(tuán)外賣出海E Ink元太科技連三年入選道瓊可持續(xù)雙指數(shù)撬動(dòng)6000億GTV后,抖音計(jì)劃偷襲美團(tuán)大本營(yíng)AGI Open Network(AON):賦能每個(gè)人創(chuàng)建、部署和貨幣化AI Agent貸款利率史上最低了嗎?東融教你看懂歷年啥水平“客服來(lái)電”有詐?抖音客服上線“驗(yàn)證助手”助用戶識(shí)別詐騙OpenAI新模型GPT-5研發(fā)未達(dá)預(yù)期:成本高昂 效果不佳曝天馬打入果鏈:為蘋果HomePod供應(yīng)LCD屏 每塊屏僅10美元曝OPPO或首發(fā)新款天璣次旗艦芯片 兩大子品牌Q2發(fā)力諾基亞攜手阿聯(lián)酋運(yùn)營(yíng)商e&,展示全球首個(gè)固網(wǎng)游戲端到端網(wǎng)絡(luò)切片方案
  • 首頁(yè) > 網(wǎng)絡(luò)安全頻道 > 云安全

    6 年前 ThinkPHP 框架漏洞再成黑客手中武器,用于安裝 Dama 惡意軟件

    2024年06月07日 17:04:32   來(lái)源:IT之家

      網(wǎng)絡(luò)安全公司 Akamai 于 6 月 5 日發(fā)布博文,黑客近期再次利用 2018 年曝光的漏洞,攻擊 ThinkPHP 應(yīng)用程序安裝名為 Dama 的持久性后門殼層(web shell)。

      ThinkPHP 是一個(gè)免費(fèi)開源的,快速、簡(jiǎn)單的面向?qū)ο蟮妮p量級(jí) PHP 開發(fā)框架,是為了敏捷 WEB 應(yīng)用開發(fā)和簡(jiǎn)化企業(yè)應(yīng)用開發(fā)而誕生的,在國(guó)內(nèi)比較盛行。

      IT之家附上本次黑客利用的漏洞如下:

      CVE-2018-20062:

      2018 年 12 月修復(fù),存在于 NoneCMS 1.3 中,遠(yuǎn)程攻擊者可以通過(guò)精心設(shè)計(jì)的過(guò)濾器參數(shù)執(zhí)行任意 PHP 代碼。

      CVE-2019-9082

      影響開源 BMS 1.1.1 中使用的 ThinkPHP 3.2.4 及更早版本,是一個(gè)于 2019 年 2 月解決的遠(yuǎn)程命令執(zhí)行問題。

      在這次攻擊活動(dòng)中,攻擊者利用這兩個(gè)漏洞執(zhí)行遠(yuǎn)程代碼,影響目標(biāo)端點(diǎn)上的底層內(nèi)容管理系統(tǒng)(CMS)。

      具體地說(shuō),攻擊者利用這些漏洞下載了一個(gè)名為“public.txt”的文本文件,而這個(gè)文件實(shí)際上是經(jīng)過(guò)混淆的 Dama 后門殼層,保存為“roeter.php”。

      該后門殼層會(huì)下載相關(guān)攻擊腳本,使用密碼“admin”進(jìn)行簡(jiǎn)單的身份驗(yàn)證步驟,實(shí)現(xiàn)遠(yuǎn)程控制服務(wù)器。

      設(shè)備一旦感染 Dama 后門殼層,攻擊者入侵服務(wù)器上的文件系統(tǒng)、上傳文件和收集系統(tǒng)數(shù)據(jù),幫助其提升至 root 權(quán)限。

      它還可以執(zhí)行網(wǎng)絡(luò)端口掃描、訪問數(shù)據(jù)庫(kù),以及繞過(guò)禁用的 PHP 功能執(zhí)行 shell 命令。

      文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)。

    即時(shí)

    新聞

    明火炊具市場(chǎng):三季度健康屬性貫穿全類目

    奧維云網(wǎng)(AVC)推總數(shù)據(jù)顯示,2024年1-9月明火炊具線上零售額94.2億元,同比增加3.1%,其中抖音渠道表現(xiàn)優(yōu)異,同比有14%的漲幅,傳統(tǒng)電商略有下滑,同比降低2.3%。

    企業(yè)IT

    重慶創(chuàng)新公積金應(yīng)用,“區(qū)塊鏈+政務(wù)服務(wù)”顯成效

    “以前都要去窗口辦,一套流程下來(lái)都要半個(gè)月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。

    3C消費(fèi)

    華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,高能實(shí)力,創(chuàng)

    華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,憑借其優(yōu)秀的性能配置和精準(zhǔn)的色彩呈現(xiàn)能力,為您的創(chuàng)作工作帶來(lái)實(shí)質(zhì)性的幫助,雙十一期間低至2799元,性價(jià)比很高,簡(jiǎn)直是創(chuàng)作者們的首選。

    研究

    中國(guó)信通院羅松:深度解讀《工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系

    9月14日,2024全球工業(yè)互聯(lián)網(wǎng)大會(huì)——工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析專題論壇在沈陽(yáng)成功舉辦。