#吃瓜
https://mp.weixin.qq.com/s/e_UZM9iG2z7_aQwPKBHsnw
频道:https://news.1rj.ru/str/fcmit168
当事人小猫咪,大量转载外边的付费课程然后卖会员900一位谋利,作者找上去则回复,"你的课这么差有什么不能转的,与其找我还不如提升你的课程质量巴拉巴拉"
个人评价,录盗版课可以,拿来你自己盗版恰钱就有点过分了,至于还这么大张旗鼓的嘴硬我真不好说
https://mp.weixin.qq.com/s/e_UZM9iG2z7_aQwPKBHsnw
频道:https://news.1rj.ru/str/fcmit168
当事人小猫咪,大量转载外边的付费课程然后卖会员900一位谋利,作者找上去则回复,"你的课这么差有什么不能转的,与其找我还不如提升你的课程质量巴拉巴拉"
个人评价,录盗版课可以,拿来你自己盗版恰钱就有点过分了,至于还这么大张旗鼓的嘴硬我真不好说
Weixin Official Accounts Platform
新的大瓜已经出现
https://mp.weixin.qq.com/s/OmWgldhe5_HC3ZeR1mnPVQ
❤2
关于最近很火的PHP-CGI的0day
首先洞确实是真的,也确实是rce,但是危害范围没有想象中那么大,不存在什么windows服务器安装php8就会被黑的,这个是谣言。这个洞是CVE-2012-1823的变种,参考 https://pentesterlab.com/exercises/cve-2012-1823/course?ref=labs.watchtowr.com
想要成功复现还得满足以下条件:
服务器是windows
XAMPP部署
PHP 版本满足(8.3-8.3.8、8.1-8.1.29、8.2-8.2.20)
服务器语言系统使用繁体中文 (字码页 950) 简体中文 (字码页 936) 日文 (字码页 932)这三种其中之一
所以最后算下来互联网侧受影响资产差不多就两千不到(都2024年了确实很少有人会直接以CGI模式运行php环境)并且绝大多数都是国内和东南亚一带的机器,并没有全球级别的危害
机制原理和CVE-2012-1823几乎没有区别,P牛给的定义就是老漏洞的新绕过方法。利用了Windows系统内字符编码转换的宽字节特性,选取特殊字符在特殊字符集下转成一个正常的字符绕过php代码中对于-这个符号的过滤,最后把请求字符串传到命令行作为cgi的参数,这里poc里边用到的代替-的是%ad
资产测绘语句 fofa:app="XAMPP"
首先洞确实是真的,也确实是rce,但是危害范围没有想象中那么大,不存在什么windows服务器安装php8就会被黑的,这个是谣言。这个洞是CVE-2012-1823的变种,参考 https://pentesterlab.com/exercises/cve-2012-1823/course?ref=labs.watchtowr.com
想要成功复现还得满足以下条件:
服务器是windows
XAMPP部署
PHP 版本满足(8.3-8.3.8、8.1-8.1.29、8.2-8.2.20)
服务器语言系统使用繁体中文 (字码页 950) 简体中文 (字码页 936) 日文 (字码页 932)这三种其中之一
所以最后算下来互联网侧受影响资产差不多就两千不到(都2024年了确实很少有人会直接以CGI模式运行php环境)并且绝大多数都是国内和东南亚一带的机器,并没有全球级别的危害
机制原理和CVE-2012-1823几乎没有区别,P牛给的定义就是老漏洞的新绕过方法。利用了Windows系统内字符编码转换的宽字节特性,选取特殊字符在特殊字符集下转成一个正常的字符绕过php代码中对于-这个符号的过滤,最后把请求字符串传到命令行作为cgi的参数,这里poc里边用到的代替-的是%ad
资产测绘语句 fofa:app="XAMPP"
👍4