敲击28次退格键之后:Linux漏洞可致机器被入侵

最新推荐文章于 2023-07-19 19:54:08 发布
最新推荐文章于 2023-07-19 19:54:08 发布
阅读量831 收藏 2
点赞数
文章标签: 运维 shell
原文链接:https://yq.aliyun.com/articles/193727
版权

有人说‘癫狂’的定义就是不停地重复某件事情,却期待有一个不同的结果。然而事实证明,不停地敲击相同的按键,还是会产生一个有趣的结果——如果你运行的是Linux系统的话。对于注重安全的人们来说,此事显然犹如晴天霹雳。一对来自西班牙的安全研究人员,最近发现了可能是Linux历史上最奇怪的一个漏洞。

敲击28次退格键之后:Linux漏洞可致机器被入侵

这个bug位于Grub2的bootloader中,并且允许你绕过用户名/密码提示。

你所需要做的,就是敲击退格键(←backspace)28次以调出Grub‘救援界面’(rescue shell),用户可在这里访问系统上的所有文件。

万幸的是这个bug是被安全研究人员所发现的,因此我们可以寄希望于他们能够记录问题并创建一个补丁,Ubuntu、红帽和Debian都已为它们的系统发布补丁(强烈建议更新)。


作者:蓝雨泪 

来源:51CTO

weixin_34290352
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ssh免密登陆及其漏洞利用
Cracker's Blog
02-27 4080
ssh 协议是基于 RSA 加密算法才能确保通讯是加密的,可靠的。 0x01:ssh ssh标准格式:ssh -p <port> <user>@192.168.1.1 客户端执行ssh-keygen生成公钥和私钥(保存在用户目录下的.ssh里),如: 将id_rsa.pub内容复制到服务端的/~/.ssh/authorized_keys 或者执行ssh-copy-i...
解决Linux内核移植后退格失效的问题
06-03
解决 Linux 内核移植后退格失效的问题 在 Linux 移植过程中,经常会遇到退格失效的问题,这使得用户在输入命令时无法使用退格删除错误的输入字符。本文将详细阐述如何解决这个问题。 问题现象:在 minicom ...
Linux超大漏洞,按28Backspace即可入侵电脑
zdy0_2004的专栏
12-21 1194
http://news.cnblogs.com/n/535292/   英文原文:Hack Into a Linux Computer by Hitting the Backspace 28 Times   要骇入一台电脑往往需要专业的方法,然而 Linux 的一个漏洞,让人人都可以都可以入侵电脑,因为只需按 28 Backspace ,就会使电脑内存产生
常见威胁端口
qq_45322343的博客
04-09 1006
20:FTP服务的数据传输端口 21:FTP服务的连接端口,可能存在 弱口令暴力破解 22:SSH服务端口,可能存在 弱口令暴力破解 28退格漏洞 OpenSSL漏洞 CVE-2015-8370 cve-2014-0224 cve-2014-3566(nmap -p 443 --script ssl-ccs-injection,ssl-poodle 10.1.21.103) 23:Telnet端口,可能存在 弱口令暴力破解 25:SMTP简单邮件传输协议端口,和 POP3 的110端口对应 未授权访问
常见端口对应服务及其漏洞
qq_67473072的博客
07-14 1570
常见端口对应服务及其漏洞
晒晒linux开机漏洞(连按 28 下 Backspace可入侵系统)的代码片段
weixin_34116110的博客
12-22 87
2019独角兽企业重金招聘Python工程师标准>>> ...
js实现模拟计算器退格删除文字效果的方法
01-19
本文实例讲述了js实现模拟计算器退格删除文字效果的方法。分享给大家供大家参考。具体如下: <!DOCTYPE html PUBLIC -//W3C//DTD XHTML 1.0 Transitional//EN ...<...无标题
js屏蔽退格(backspace或者叫后退与F5)
12-12
我们在真实的项目开发中经常会使用JS 对盘上的一些按进行禁用,常见的比如说退格(backspace/ 后退),我在一个项目中就遇到过在页面编辑的时候禁用掉退格,因为退格会发生页面后退,这样编辑的内容都会...
Linux下sqlplus退格、上翻乱码工具
12-29
Linux的某些终端模拟器中,SQL*Plus可能无法正确处理退格(Backspace),导致用户无法删除已输入的字符。为了解决这个问题,我们可以使用一个名为`rlwrap`的实用程序。`rlwrap`全称是"readline line wrapper",...
平衡的退格:尝试平衡引号和花括号的删除
02-12
平衡的退格尝试平衡引号和花括号的删除 要求该存储库要求安装文本编辑器,源代码在上 ,并且大多数GNU Linux软件包管理器都可以直接安装Vim,例如... 基于Arch的操作系统sudo packman -Syysudo packman -S vim ...
openssl 不会有不等于28位的问题
03-10
openssl windows 10 64位
nmap扫描常用端口号
qq_45758325的博客
07-19 300
nmap扫描常用端口号
渗透测试——常见服务端口及对应的漏洞汇总
W小哥
11-17 5401
一、web服务类 tomcat--80/8080/8009 manager弱口令(漏洞利用可以上传war包getshell) put上传webshell HTTP慢速攻击 ajr文件包含漏洞-CVE-2020-1938 Jboss--8080 后台弱口令 console后台部署war包 JAVA反序列化 远程代码执行 webSphere--9080
常见服务/协议漏洞
a1b2c3是弱口令
08-22 5854
FTP 服务 FTP服务:ftp服务我分为两种情况,第一种是使用系统软件来配置,比如IIS中的FTP文件共享或Linux中的默认服务软件;第二种是通过第三方软件来配置,比如Serv-U还有一些网上写的简易ftp服务器等; 默认端口:20(数据端口);21(控制端口);69(tftp小型文件传输协议) 攻击方式: 爆破:ftp的爆破工具有很多,这里我推荐owasp的Bruter 以及msf中f...
Grub2被曝登陆验证绕过0Day,影响众多Linux版本(CVE-2015-8370)
zdy0_2004的专栏
12-18 787
http://www.freebuf.com/vuls/90048.html 描述 近日,研究人员发现了一个Grub2的漏洞,版本1.98(2009年发布)到2.02(2015年发布)均受影响。本地用户能够通过这个漏洞绕过任何形式的认证(明文密码或者哈希密码),使得攻击者进而可以获得电脑的控制权限。而大部分的linux系统都将Grub2作为开机引导程序,包括一些嵌入式系统。因此
Openssl漏洞记录
IT旅途
04-10 615
OpenSSL官方网站4月7日发布公告,有研究人员发现OpenSSL 1.0.1和1.0.2-beta版本中存在安全漏洞(编号为CVE-2014-0160),可能暴露密钥和私密通信,应该尽快修补,方法是: 升级到最新版本OpenSSL 1.0.1g 无法立即升级的用户可以以-DOPENSSL_NO_HEARTBEATS开关重新编译OpenSSL 1.0.2-beta版本的漏洞将在be
windows,linux 实战渗透 主机常见端口漏洞
12-15 7871
主机常见端口漏洞
SSH Client退格显示^H 解决办法
weixin_33842328的博客
07-25 1051
2019独角兽企业重金招聘Python工程师标准>>> ...
linux ssh 终端退格,退格,Tab,Del和箭头在终端中不起作用(使用ssh)
weixin_42300121的博客
05-09 1162
上面的答案都没有解决我的相同问题,即从Ubuntu切入远程目录后无法使用退格或类似的(这里是ncurses-6.0的ubuntu-17.10)。最终成为terminfo的问题。基本上,我的gnome-terminal表示它是一个xterm-256color终端(通过TERM变量,该变量由ssh导出到远程),但是远程没有针对xterm-256color的terminfo配置。执行以下操作可以解决...
ubuntu终端命令退格
最新发布
07-08
在Ubuntu终端中,退格通常对应的是ASCII码为8的字符,也就是`Backspace`。当你需要撤销输入或者回到上一个字符的位置时,只需按下这个即可。如果因为某种原因显示不出来,可以在终端里通过按下组合`Ctrl + H`来实现同样的退格效果。另外,有些文本编辑器如Vim中,也可以使用`h`方向向左移动并删除字符。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值