宝塔php漏洞,宝塔面板 7.4.2 严重漏洞,可绕过验证直接登录数据库。附宝塔面板升级方法...

最新推荐文章于 2024-04-27 10:04:53 发布
最新推荐文章于 2024-04-27 10:04:53 发布
阅读量2.8k 收藏 1
点赞数
文章标签: 宝塔php漏洞

宝塔面板官方今天发布公告说明宝塔 7.4.2 存在严重安全漏洞,目前已经进行了紧急安全更新,并发布了 7.4.3 版本,请所有宝塔面板 7.4.2 的用户务必更新到最新版,否者这个漏洞可以绕过验证直接通过 phpMyAdmin 登录 MySQL 数据库。

一、宝塔安全漏洞详情

装有宝塔面板的用户,访问以下网址:

http://自己的IP:888/pma

如果可以绕过验证直接进入 phpMyAdmin,请立刻修复这个漏洞,可以升级到宝塔最新版或者关闭 888 端口。

1、面板首页直接更新(推荐)

2、升级脚本更新

以下升级脚本不能在面板自带的 SSH 终端执行,请自行先 SSH 到服务器上后再执行:

curl https://download.bt.cn/install/update_panel.sh|bash

3、离线升级

如果上面两个升级方案都不可行,那么可以采用离线升级的方法升级宝塔面板:

下载离线升级包:http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip

将升级包上传到服务器中的 /root 目录

解压文件:unzip LinuxPanel-7.4.3.zip

切换到升级包目录:cd panel

执行升级脚本:bash update.sh

删除升级包:cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel

三、除了宝塔面板的其他选择

如果你选择卸载宝塔面板,那么老王推荐一个 LNMP 管理脚本,也是非常好用的,除了没有可视化界面,但是好像一般也用不上可视化界面:《Linux 一键安装 Nginx + MySQL + PHP 环境》

梅大林
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
宝塔最新未授权访问漏洞及sql注入
m0_52514790的博客
02-23 1193
整个宝塔 WAF 核心防护功能的代码写的确实有点粗糙,代码组织方式不像一个成熟软件该有的架构,小 Bug 一眼望不到头,今天分享的是一个未授权访问漏洞,普通用户可以无视宝塔的随机登录地址,无视宝塔登录密码,直接操作后台的数据,实现人人都是管理员的效果。这段代码位于 /cloud_waf/nginx/conf.d/waf/public/waf_route.lua 文件中,源文件是 luajit 编译后的内容,反编译一下即可看到源码。话说这是临时工写的代码吧,对于宝塔的配置来说,要满足这两个条件很难吗?
宝塔linux面板漏洞static,新版宝塔管理面板跳过强制绑定官方账户的方法
weixin_32848617的博客
05-16 2752
宝塔Linux面板是提升运维效率的服务器管理软件,支持一键LAMP/LNMP/集群/监控/网站/FTP/数据库/JAVA等100多项服务器管理功能。现在新版本的宝塔面板强制绑定宝塔官网账号,否则就无法继续使用面板。如下图:如果你以为可以关闭,那你就错了~~是不是很讨厌?我也是这么认为的。网上绕过强制绑定账号的方法也很多,但是都显得比较麻烦,不符合宝塔面板针对小白用户的定位。下面我们介绍两种绕过宝塔...
宝塔部署一套自己的漏洞扫描OpenVAS
最新发布
04-27 348
OpenVAS是一个开源且功能开放的网络安全漏洞评估系统,它集成了多种相关工具,构成了一套全面的网络扫描解决方案。因此,OpenVAS能够免费提供给用户部署和使用。在其最新版本中,仅需安装一个基于浏览器/服务器架构的服务端,即可通过浏览器访问的方式对目标服务器进行漏洞扫描,无需在被扫描的服务器上安装任何额外组件。这意味着通过docker等容器技术,可以迅速且便捷地部署OpenVAS,满足我们的安全检测需求。
如何对PHP程序中的常见漏洞进行攻击
翔一的垃圾桶
11-30 607
原著:Shaun Clowes ; " target=_blank>http://www.securereality.com.au/>;  翻译:analysist ; " target=_blank>http://www.nsfocus.com/>;  之所以翻译这篇文章,是因为目前关于CGI安全性的文章都是拿Perl作为例子,而专门介绍ASP,PHP或者JSP安全性的文章则很少。Shaun
宝塔漏洞生成原因
震山的博客
08-20 1083
分析造成这个问题的背后思路
宝塔+dedecms 文件上传漏洞bypass复现
2301_80127209的博客
04-18 615
知道,1方面要对小马进行base64编码, 另外一方面要对蚁剑进行魔改。申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。1,我先找的资料,是蚁剑的绕过disable_function。可以发现, 规则,对get,post ,cookie,等方式的eval,还有base64都进行了过滤。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。千万要注意的是,这个得选择这个。
php-7.4.2.tar.gz.zip
01-30
PHP官方代码包,官网下载实在太慢了,下载半天都下载不下来,这里提供一个完整代码包,供大家快速下载安装用。
npp.7.4.2.Installer.zip
11-15
npp.7.4.2.Installer.zip
logstash-7.4.2.zip
11-21
logstash-7.4.2.tar,elk7.4.2 日志收集工具,官网最新版,小伙伴来啊!!!!!!!
php7.4.2.zip
03-15
php开发工具,官网不好下载,目前方便大家直接下载使用。希望用到php开发的程序员,可以快速搭建开发环境。
elasticsearch-7.4.2-linux-x86_64.tar.gz
06-30
elasticsearch-7.4.2-linux-x86_64.tar.gz适合jdk1.8版本 解压后直接修改yml文件启动即可使用
PHP<=7.4.21 Development Server源码泄露漏洞
这周末在做梦的博客
03-05 3398
因为特殊的原因CTF荒废了一段时间,近期总算再次捡了起来,算是从头开始了吧。近期比赛刚好遇到了这个漏洞,看国内似乎还没有过多的论述,先总结一波。
最新宝塔服务器面板漏洞
xj28555的博客
08-24 2724
0x001漏洞说明【法律无情,请不要以身试法】 宝塔面板Linux7.4.2以及Windows6.8版本PhpmyAdmin未加签权,通过IP:888/pma可以直接登录数据库,现已出现漏洞批量利用工具,可通过Zmap扫描全球888端口进行大规模提权 0x002解决方法 宝塔官方已发布紧急更新,所有使用此版本的用户升级到最新版即可解决 ...
备份数据 宝塔linux_宝塔面板被曝最新严重数据库安全漏洞,请及时更新 - WordPress教程...
weixin_33371495的博客
01-03 234
近期,广受欢迎的宝塔面板爆出严重的安全漏洞,使用该面板的站长注意了,赶紧升级到最新版本,避免被删库的风险。漏洞实现警告!!!宝塔爆出严重漏洞:7.4.2/7.5.14版本下只需访问*********即可绕过用户校验访问数据库。目前已经有多个网站数据库被删,请各位及时更新。官方信息【宝塔面板】紧急安全更新通知,Linux面板7.4.2版本/Windows面板6.8版本存在安全隐患,其他版本无此风险。...
关于宝塔破解的一些建议
Yafully
07-22 1984
本来这种文章不适合发出来,但是人都是有好奇心或者囊中羞涩的。例如你不想花那个钱。仅供参考吧,若是侵害了您的利益请联系我。 百度果然是百毒这个不必多说(What's your problem?),前些天手贱就不小心中招了。这里把坑标出来以免后来者上当受骗。 百度搜索排前面的有个https://www.heibai.org/post/1392.html这个地址的破解(什么祈安小队),这个千万不要装...
宝塔面板爆重大漏洞数据库无鉴权直接访问
weixin_45587182的博客
08-24 1252
2020年8月23日,宝塔面板被爆出严重的安全事件:数据库未授权访问漏洞,公网无需鉴权直接 root 权限进入 phpmyadmin,IP或域名地址:888/pma 可以直接进入 phpMyAdmin,导致很多网站数据库被篡改或者直接清理了数据库,可谓损失惨重! 下图为使用宝塔面板服务器软件后爆出的数据库未授权访问漏洞 我是昨天收到阿里云通知消息提醒的,后面才收到宝塔短信通知的,收到宝塔安全漏洞的通知还是比较意外的,运维群炸了,一直在讨论数据库的丢失以及转移问题。宝塔面板数据库未授权访问漏洞,公网无需鉴
网传宝塔“0day”挂马事件—检测脚本
afei001
12-18 1272
宝塔面板疑似出现重大安全漏洞。遭到攻击的服务器,Nginx会自动检测header中accept字段是否包含Gzip。如果包含,则会向目标页面中加入一段JS引用,从而实现恶意挂马。
为什么要做漏洞扫描呢?
华为云官方博客
11-27 1682
摘要:本文介绍做漏洞扫描的内外部驱动力。
关于使用宝塔面板遇到的一些坑
热门推荐
IT羊的博客
01-11 5万+
宝塔的liunx面板确实是我用过的至今为止最好的面板,简化很多操作,不过在使用做也会遇到一些坑,本文专门记录这些遇到的坑,顺便贴上宝塔的命令 http://www.bt.cn/btcode.html 1、重启服务器后面板打不开,网站不能访问,这个问题一般是掉盘引起的,解决方法是一般是用下面的命令修复下 wget -O update.sh http://download.bt.cn/ins
cordova could not resolve com.android.tools.build:gradle:7.4.2.
01-06
这个问题可能是由于Cordova项目的构建脚本中使用了不可用或过时的Android Gradle插件版本所致。在使用Cordova构建Android项目时,Gradle插件的版本必须与Cordova支持的版本相匹配。要解决此问题,你可以尝试以下几种方法: 1. 确保你的Cordova版本与最新的Android Gradle插件版本兼容。你可以通过查阅Cordova官方文档或其GitHub页面来了解哪些Gradle插件版本是受支持的。 2. 尝试降级Gradle插件的版本。在项目的build.gradle文件中,将com.android.tools.build:gradle的版本降至Cordova所支持的版本。 3. 更新你的Cordova版本。尝试升级你的Cordova版本到最新版,这可能会解决与最新Gradle插件版本不兼容的问题。 4. 检查你的网络连接。有时候这个问题可能是由于网络问题导致Gradle插件无法正确下载所致。你可以尝试使用稳定的网络连接重新构建项目。 最后,如果以上方法仍然无法解决问题,你可以在Cordova的官方论坛或GitHub页面上寻求帮助,或者尝试搜索类似的错误信息以查找其他解决方案。希望这些建议能够帮助你解决你的Cordova构建问题!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值