注:因个别原因无法自行复现,转载自各公众号,略微进行修改添加
目录
0x01 漏洞复现
0x02 FOFA搜索
0x03 修复建议
0x04 吃瓜
0x01 漏洞复现
下载linux7.4.2版本宝塔,使用root用户执行(当前使用centos系统),添加权限安装
7.4.2linux版本下载链接:https://pan.baidu.com/s/1nUMGvof_9I4JdVtk2Z0sMA 提取码:stuj
安装完成后,会回显用户密码以及登陆地址
踩坑点:登录后,分别安装apache2.4、mysql、php、phpmyadmin四个软件如果apache2.4安装不上,安装ngnix。
安装完成后下拉至底部,点击phpMyAdmin5.0可查看到访问地址
打开此URL为正常登陆界面,访问 http://ip:888/pma
未授权直接进入了面板,无需密码登陆。
0x02 FOFA搜索
FOFA搜索语法:app=”宝塔-Linux控制面板”
0x03 修复建议
-
升级7.4.3即可解决,官方链接:https://www.bt.cn/bbs/thread-54666-1-1.html
-
通过修改 pma 配置文件,屏蔽对应端口,关闭公共访问权限等方法也可解决
0x04 吃瓜
8月23日宝塔漏洞爆出,Gov网站被入侵,首页遭到篡改并删除数据库。
群内表哥们发出了多组相关聊天记录(真假未知)
目前还未有处理结果公布,持续吃瓜等待
参考链接:
https://mp.weixin.qq.com/s/wgd3cWsbImju4dQbN77ynw
https://mp.weixin.qq.com/s/6tOGTQ1VCAI_ZHQ26LbyWQ
来源:「已注销」
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!