php安全插件,weathermap 插件 editor.php 的安全性问题

最新推荐文章于 2023-01-17 08:00:00 发布
最新推荐文章于 2023-01-17 08:00:00 发布
阅读量370 收藏
点赞数
文章标签: php安全插件

最近刚部署完CactiEZ+weathermap+nagios+npc的整合,发现一个问题,weathermap下的editor.php文件是任何人都能访问的,并能修改气象图,如下图。

8a422dd6932174afc84938f7eba91fd7.png

通过google的搜索相关的信息,从Weathermap的网站看到,editor.php是没有做验证的,任何人都可以修改你的气象图配置文件的。但其网站也提供了一个解决方法,如下

Order Deny,Allow

Deny from all

Allow from127.0.0.1

在apache的配置文件末尾加上上面的代码,这样就可以解决问题了。但是不久后你就会发现,自己想要修改气象图的时候,却没有权限访问的,如下图

afddd52edeeef8781feb9b4f476fc0ee.png

呵呵,是不是很郁闷呢,还得修改apache的配置文件?其实不用,如果我们用.htaccess的验证方法,就可以完全避免这个问题的发生了。

首先我们在/var/www/html/plugins/weathermap下创建一个验证文件

htpasswd -cb /var/www/html/plugins/weathermap/.htpasswd cacti catiuser

其中cacti是用户名,cactiuser是密码

创建好验证文件后,在apache的配置文件末尾加上如下的代码

AuthType Basic

AuthName "Please input your username and password."

AuthUserFile /var/www/html/plugins/weathermap/.htpasswd

require valid-user

这里大概说明一下上面的字段的意思。

AuthType指令选择了对用户实施认证的方法,最常用的是由mod_auth提供的Basic。很重要的必须认识到的一点是,Basic认证方法并不加密来自用户浏览器的密码,因此,不应该用于高度敏感的数据。Apache在最近的版本中还有另一种更安全的认证方法,即由mod_auth_digest提供的AuthType Digest。AuthName指令设置了使用认证的领域,它起两个作用,首先,此领域说明会出现在显示给用户的密码提问对话框中,其次,也帮助客户端程序确定应该输入哪个密码。AuthUserFile指令设置了密码文件,也就是刚才我们已经用htpasswd建立的。

require valid-user表示针对/var/www/html/plugins/weathermap/.htpasswd设置的所有用户生效。如果只想对.htpasswd里面设置的一个用户生效,可以使用requier user Username1。

好了,设置完上面内容,重新启动一下apache

再访问http://xxxx.com/plugins/weathermap/editor.php的时候,就会提示你输入用户名和密码了。如下图

bb516aae6a4377befc72836d1727a960.png

weixin_39783156
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用cacticg getshell
m0_46689007的博客
11-29 715
获得用户名密码,admin密码MD5解码失败,改写admin密码为123456,结束后再将密码改回去。扫描目录发现有phpmyadmin,存在弱口令root/root。通过更改前端type参数为text,泄露邮箱账号和密码。发现存在weathermap插件任意文件写入漏洞。再查看8980端口发现为cactize服务。查看7025端口为机房后台,弱口令没进去。登录后,没有找到getshell的地方。先用 Nmap扫描ip端口开放情况。蚁剑连接getshell。上传webshell。
weathermap 插件 editor.php安全性问题
weixin_34174105的博客
06-27 469
最近刚部署完 CactiEZ+weathermap+nagios+npc的整合,发现一个问题weathermap下的editor.php文件是任何人都能访问的,并能修改气象图,如下图。通过google的搜索相关的信息,从Weathermap的网站看到,editor.php是没有做验证的,任何人都可以修改你的气象图配置文件的。但其网站也提供了一个解决方法,如下weatherm...
cacti poller.php详解,Cacti插件详解——Weathermap
weixin_32770423的博客
03-28 575
这些漂亮的网络拓扑都是用weathermap画出来的!这么长时间了没有发出来,今天就写以下weathermap的用法,以下都是我自己的理解,如有错误之处请谅解!weathermap是用来做网络拓扑图的,其中可以调用mrtg和cacti的流量图,可以生成静态的html页面。具体的例子大家可以中国科大的这个http://linux.ustc.edu.cn/weathermap的官方网站为 http:/...
CactiEZ weathermap插件任意文件写入
最新发布
m0_49025459的博客
01-17 1420
CactiEZ的登录界面,大多数都会存在weathermap插件,这样我们就可以尝试该网站是否存在任意文件写入漏洞了。
cacti插件学习手札--php-Weathermap
lanndmentt的专栏
11-14 1193
今天一直在配置cacti的一个插件network-weathermap,终于搞定,接下来就把配置过程记录如下,network-weathermap的最后可以实现如下图所示的结构 首先下载network-weathermap的cacti插件,最新版本是0.95,地址:http://www.network-weathermap.com/files/php-weathermap-0.95b.zip将下载
Cacti 0.8.8b插件安装之weathermap
weixin_33691817的博客
10-31 429
类别:原创服务器本文参考http://www.360doc.com/content/14/1031/15/20148927_421444160.shtml第一:说明目的:本机前提是已安装好了cacti0.8.8b并正常工作,本文档主要配置cacti插件weathermap。其它说明:cacti0.8.8b的安装请参考我的其它博客文章《Cacti0.8.8b安...
php-weathermap-0.97a.zip
06-06
总结,PHP Weathermap 0.97a作为Cacti的插件,不仅提供了强大的网络可视化功能,还具有良好的扩展性和易用性。通过充分利用其特性,网络管理员可以提升网络管理的效率和质量,从而更好地维护复杂网络环境的稳定运行...
WeatherMap-1.zipIOS应用例子源码下载
03-06
对于有经验的开发者,WeatherMap-1.zip可以作为一个技术参考,从中借鉴地图应用的实现策略,或者作为解决特定问题的灵感来源。 总的来说,WeatherMap-1.zip提供了一个学习和研究iOS应用开发的实战案例,通过对源码...
WeatherMap.zipIOS应用例子源码下载
03-06
WeatherMap.zip:iOS应用开发实例解析》 WeatherMap.zip是一个专门为iOS平台设计的应用程序源码包,提供了宝贵的iOS开发学习资源。这个源码库包含了完整的WeatherMap应用代码,为开发者,尤其是学生、个人学习者...
php-weathermap
04-29
在描述中提到的“好吃不贵呵呵”,可能是用户对于php-Weathermap实用性和性价比的一种幽默表达,意味着这个工具功能强大且易于使用,而且是免费的开源软件,对用户来说非常实惠。 php-Weathermap的工作原理如下: 1...
cacti-Weathermap出现错误代码 解决方法
weixin_34284188的博客
11-01 277
editor主页出现: $cacti_base is not set correctly. Cacti integration will be disabled in the editor. 解决方法: 依实际更改Weathermap文件夹下editor-config.php: // CHANGE: Uncomment one of the lines below ...
关于CactiEZ自定义气象图的配置
weixin_30656145的博客
01-16 625
作者:邓聪聪 主要目录: Weathermap主目录:/var/www/html/plugins/weathermap 图片目录(包含背景图标文件):/var/www/html/plugins/weathermap/images 模板及页面文件:/var/www/html/plugins/weathermap/configs 1):默认配置 /var/www/html/plug...
Cacti 无法启用气象图和气象图中图标添加
weixin_33748818的博客
06-22 485
/var/www/html/plugins/weathermap/p_w_picpaths/ 这就是存放气象图图标文件。服务器上yuminstalllrzszCRT连接服务器后启用SFTPsftp> cd /var/www/html/plugins/weathermap/p_w_picpaths/sftp> put 完成。Theeditorhas...
【Cacti】Cacti插件Weathermap使用
feilong0663的专栏
07-11 3702
原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://pengyl.blog.51cto.com/5591604/1230922 weathermap安装好后会有一个配置文件simple.conf,当我们需要weathermap画图的时候,第一步就是要在其所在目录下增加相应的配置文件, 查找simple.conf所在位
cacti安装报错php,centos6安装cacti0.8.8d插件weathermap0.98
weixin_29526313的博客
03-18 241
一、安装weathermap0.98所需环境1、系统环境[root@cacti ~]# cat /etc/redhat-releaseCentOS release 6.8 (Final)2、cacti环境cacti0.8.8d(前提是cacti可以正常使用)保证cacti登陆用户可以看到Plugin Management(插件管理)选项如果没有console->User Management...
plusmybak.php,日常被扫web
weixin_28965077的博客
03-12 311
扫描内容如下:内容太多基本省略!基本都是老程序oday和一句话后门!站群,2019-12-04 03:00:52,防应用程序漏洞,118.24.99.248(中国广东) 访问 三号号域名/config/AspCms_Config.asp, 触发规则:301::一句话木马利用工具防护二(ASP), 可疑行为:Execute("Execute(""On,已被拦截。站群,2019-12-04 03:...
cacti及spine和weathermap插件的配置使用
weixin_34313182的博客
06-14 777
为什么80%的码农都做不了架构师?>>> ...
centos下cacti之monitor、thold、setting、weathermap安装
weixin_33946605的博客
08-13 365
一、下载需要的安装包下载有两种方法:1、下载到本地,通过挂载安装:主下载页面:http://docs.cacti.net/php-weathermap-0.97a.zipsettings-v0.71-1.tgzthold-0.4.1.tar.gzmonitor-v1.3-1.tgz2、直接在centos里面通过wget命令下载安装:wget http://docs.cacti...
Cacti与Weathermap监控网络:安装与使用指南
"Cacti和weathermap插件安装及使用文档" Cacti是一个基于PHP的网络监控系统,主要用于通过SNMP服务收集网络设备的数据,然后利用RRDTool(Round Robin Database Tool)来存储和展示这些数据。SNMP是网络管理协议,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值