宝塔服务器面板漏洞-越权访问

最新推荐文章于 2024-07-10 15:42:54 发布
最新推荐文章于 2024-07-10 15:42:54 发布
阅读量397 收藏
点赞数
分类专栏: 网络安全 漏洞复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37602797/article/details/108188849
版权

phpmyadmin越权访问 漏洞版本为7.4.2以及以前版本

IP:888/pma可直接登陆数据库

找了几个跑了一下,基本上封的很快

应急速度很快。

参考:

https://mp.weixin.qq.com/s/z-oKQv3zQCx3oODTN4BUbQ

免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

订阅查看更多复现文章、学习笔记

thelostworld

安全路上,与你并肩前行!!!!

个人知乎:https://www.zhihu.com/people/fu-wei-43-69/columns

个人简书:https://www.jianshu.com/u/bf0e38a8d400

个人CSDN:https://blog.csdn.net/qq_37602797/category_10169006.html

原文链接:https://mp.weixin.qq.com/s/QVhaN7BRu0iHrFIcBvlx8A

thelostworld-公众号
关注
专栏目录
宝塔最新未授权访问漏洞及sql注入
m0_52514790的博客
02-23 1694
整个宝塔 WAF 核心防护功能的代码写的确实有点粗糙,代码组织方式不像一个成熟软件该有的架构,小 Bug 一眼望不到头,今天分享的是一个未授权访问漏洞,普通用户可以无视宝塔的随机登录地址,无视宝塔的登录密码,直接操作后台的数据,实现人人都是管理员的效果。这段代码位于 /cloud_waf/nginx/conf.d/waf/public/waf_route.lua 文件中,源文件是 luajit 编译后的内容,反编译一下即可看到源码。话说这是临时工写的代码吧,对于宝塔的配置来说,要满足这两个条件很难吗?
节节云-宝塔主机面板IDC-v1.0.13.zip
03-27
节节云-宝塔主机面板包含了批量建站,权限分配,站点同步,多台服务器多站点统一化管理,一键登录宝塔面板等功能。应用类型:宝塔站点(主机管理)应用描述:支持Windows/Linux系统,同步宝塔站点和管理站点(包含...
宝塔服务器面板漏洞
weixin_44508748的博客
11-21 2433
宝塔服务器面板漏洞,phpmyadmin没加鉴权 IP:888(宝塔服务端口)/pma可直接登陆数据库。漏洞版本为7.4.2 http://1.x.x.x:888/ http://1.x.x.x:888/pma/
备份数据 宝塔linux_宝塔面板被曝最新严重数据库安全漏洞,请及时更新 - WordPress教程...
weixin_33371495的博客
01-03 291
近期,广受欢迎的宝塔面板爆出严重的安全漏洞,使用该面板的站长注意了,赶紧升级到最新版本,避免被删库的风险。漏洞实现警告!!!宝塔爆出严重漏洞:7.4.2/7.5.14版本下只需访问*********即可绕过用户校验访问数据库。目前已经有多个网站数据库被删,请各位及时更新。官方信息【宝塔面板】紧急安全更新通知,Linux面板7.4.2版本/Windows面板6.8版本存在安全隐患,其他版本无此风险。...
宝塔php漏洞,宝塔面板 7.4.2 严重漏洞,可绕过验证直接登录数据库。附宝塔面板升级方法...
weixin_42495504的博客
03-26 3126
宝塔面板官方今天发布公告说明宝塔 7.4.2 存在严重安全漏洞,目前已经进行了紧急安全更新,并发布了 7.4.3 版本,请所有宝塔面板7.4.2 的用户务必更新到最新版,否者这个漏洞可以绕过验证直接通过 phpMyAdmin 登录 MySQL 数据库。一、宝塔安全漏洞详情装有宝塔面板的用户,访问以下网址:http://自己的IP:888/pma如果可以绕过验证直接进入 phpMyAdmin,请立...
宝塔严重未知安全漏洞宝塔面板或Nginx异常)
Jan's的博客
12-09 5297
5、【企业版防篡改-重构版】插件可以有效防止网站被篡改,建议开启并设置root用户禁止修改文件(需要使用时再放开),另外,将。同时文件大小不一致的话,是因为安装方式的不同,极速安装包的安装大小一般都为5M,编译方式安装的大小大约为。)锁住,此目录在正常使用中不会有任何修改的行为,除了重装以外其他修改行为均可视为被篡改,所以将它锁上。另外,未出现异常问题正常使用的用户,我们给出加固建议,如果您担心面板存在风险,可以登录终端执行。1、升级面板到最新版,已经是最新版的,在首页修复面板,并开启。
重启宝塔面板后提示-ModuleNotFoundError: No module named 'geventwebsocket'
09-14
在使用宝塔面板管理服务器时,遇到“ModuleNotFoundError: No module named 'geventwebsocket'”这一错误,通常意味着在尝试运行某个Python应用(如Flask项目)时,系统找不到名为`geventwebsocket`的模块。...
BaoTa:宝塔Linux面板-简单好用的服务器运维面板
02-05
宝塔开源许可协议: ://www.bt.cn/kyxy.html 使用手册: : 论坛地址: : 反馈建议: : 错误提交: : 安装命令: 圣托斯 yum install -y wget && wget -O install.sh ...
中易联盟v9,宝塔面板兼容-2021-3-23最新优化版.zip
03-23
"宝塔面板"是一款流行的Linux服务器管理工具,使得用户能够通过Web界面轻松地进行服务器的配置和管理。2021年3月23日的“最新优化版”提示这是该系统经过一系列改进后的版本,可能包含了性能提升、bug修复或新增功能...
浅谈宝塔渗透手法,从常见漏洞 聊到 宝塔维权 再到 bypass disable_functions原理
milu_Sec的博客
12-31 5562
公网无需鉴权直接 root 权限进入 phpmyadmin,IP或域名地址:888/pma为什么要介绍这个洞呢,因为phpmyadmin这里好做文章,常见手法有into outfile写shell,日志get shell,UDF getshell,MOF提权,网上教程一大堆,这里麋鹿就不浪费大家时间了,不熟悉的读者可以百度一下。
宝塔面板】紧急安全更新通知
热门推荐
滴水石穿
08-24 1万+
今早起床就发现了宝塔发的信息:建议大家看自己的宝塔需不需要更新! 【宝塔面板】紧急安全更新通知,Linux面板7.4.2版本/Windows面板6.8版本存在安全隐患,其他版本无此风险。已发布紧急更新,请所有使用此版本的用户务必升级到最新版,更新方法,登录面板直接升级更新即可,如更新出现问题,请登录宝塔论坛反馈或者联系客服反馈。 之后找到了如下的内容 ====================================== 周日晚,某群里突然发布了一则消息,宝塔面板的phpmyadmin存在未授
宝塔漏洞复现
黑白的博客
09-06 1万+
声明 好好学习,天天向上 漏洞描述 宝塔面板是一款服务器管理软件,支持windows和linux系统,可以通过Web端轻松管理服务器,提升运维效率。例如:创建管理网站、FTP、数据库,拥有可视化文件管理器,可视化软件管理器,可视化CPU、内存、流量监控图表,计划任务等功能 该漏洞是phpmyadmin未鉴权,可通过特定地址直接登录数据库的漏洞 影响范围 宝塔Linux面板7.4.2版本 宝塔Linux测试版7.5.13 Windows面板6.8版本 复现过程 漏洞镜像可以用docker获取 先配置加速器(公
宝塔紧急安全漏洞
Websec
08-23 8256
漏洞官方来源: https://www.bt.cn/bbs/thread-54644-1-1.html 1、漏洞简介 2020年8月23日晚间,宝塔官方紧急推送安全更新,修复了一处在7.4.2版本中的高危漏洞,攻击者可利用此漏洞越权访问数据库,甚至获取服务器权限。 2、漏洞影响版本 版本7.4.2 3、漏洞危害 此版本宝塔面板在部署phpmyadmin时,直接部署在http://ip:888/pma/ 路径下,且不需要验证用户名密码直接访问,对数据库安全构成严重威胁,攻击者甚至可以通过数据库获得
宝塔+linux+漏洞,最近非常火的宝塔漏洞 888端口的入侵
weixin_36165152的博客
05-16 4389
宝塔介绍“宝塔”这个网站程序,做过网站的朋友应该不会感到陌生。宝塔 为搭建在Linux主机上的网站,提供了一个强大的后台管理系统。让网站管理人员能更方便的,管理自己的网站服务器,并且可以通过手机随时随地,监控网站的一个流量波动。bt_1.png骇客篡改数据库然而就是这样一个强大服务器管理系统,前段时间就因为一个漏洞;上了百度的热搜榜。漏洞爆出的当天,不少网站都遭到了 骇客的光顾。数据库的数据被 篡...
通过宝塔面板安装-管伊佳ERP-v3.3
最新发布
08-04
通过宝塔面板安装-管伊佳ERP,方便大家安装部署到服务器
天翼云服务器安装宝塔面板
01-20
开放8888端口,8888端口是宝塔面板访问端口 只需要协议端口填上8888,源地址不用填写 使用远程连接软件 (如 Putty、XShell) 连接你的Linux服务器 根据提示,输入你要登录的账户 Centos安装命令: yum install -y...
秘密-宝塔漏洞复现-详细网安教程
2401_84915584的博客
07-10 588
扫码领资料获网安教程本文由掌控安全学院 -caih投稿前几天找到个可以上传任意文件的上传点,成功上传phpinfo页面并能访问,但是不能成功上传一句话
PC版宝塔漏洞批量扫描软件2020版
08-27
1.单个扫描只扫描域名列表第一个 2.批量扫描则扫描全部。 使用须知: 本程序只对未更新宝塔的用户有效, 如果扫出来的地址进不去,说明改网站宝塔版本已经更新了。
除了关注你的宝塔漏洞,还需要防范ddos攻击
LuHai3005151872的博客
09-02 684
2020年8月23号,宝塔面板由于出现紧急安全漏洞,发布紧急更新。宝塔面板是一款服务器管理软件,支持windows系统和Linux系统,宝塔面板可以解决众多软件安装难题,实现快速化操作,面板化操作,深受站长们的喜爱,因此此次安全漏洞需要各位站长引起重视。 一、漏洞简介 2020年8月23日晚间,宝塔官方紧急推送安全更新,修复了一处在Linux7.4.2版本和Windows6.8版本中的高危漏洞,攻击者可利用此漏洞越权访问数据库,甚至获取服务器权限。 二、漏洞影响版本 本次漏洞主要影响Linux7.4.2版
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值