水木社区手机版
首页
|版面-数字家庭(DigiHome)|
新版wap站已上线
返回
1/1
|
转到
主题:美国路由器操作语言设为简体中文时有高危漏洞 (转载)
6楼
|
xvy
|
2021-08-18 17:15:30
|
展开
任意命令执行是十分常见的漏洞。小米的路由器可以通过这种方式拿到shell。小米的网关可以通过这种方式开启telnet。
千万不要以为管理密码能够挡住攻击者。几年前一个大漏洞:搜狗输入法的安装目录的权限被误设置为所有人可修改(正常应当只允许管理员输入密码后修改),没有管理权限的攻击者可以将搜狗输入法的更新程序替换为自己的任意程序,当管理员正常登陆时,若搜狗输入法的自动更新启动,该替换后的程序就能执行并获得管理员权限,从而实现任意代码执行。
--
FROM 111.201.154.*
8楼
|
xvy
|
2021-08-18 21:02:15
|
展开
用户不需要具有shell权限。例如,小米的网关有一个api,******,用户(或攻击者)可以构造请求,若输入任意内容然后加一个分号,分号后的内容会作为shell命令执行。这个漏洞还没修复,就先不说细节了。
【 在 ygs 的大作中提到: 】
: 你这是至少有shell权限了
:
:
--
FROM 111.201.154.*
1/1
|
转到
选择讨论区
首页
|
分区
|
热推
BYR-Team
©
2010.
KBS Dev-Team
©
2011
登录完整版