怎么同步接收别人微信?如何偷偷监控别人手机(并且不被发现)

访客4年前黑客工具1166

FastCGI解析漏洞 WebServer Fastcgi配置不当,会造成其他文件(例如css,js,jpg等静态文件)被当成php脚本解析执行。当用户将恶意脚本webshell改为静态文件上传到webserver传递给后端php解析执行后,会让攻击者获得服务器的操作权限 高风险项漏洞地址(URL) 参数 请求 *** 发现时间 恢复时间 持续时间

 GET 7月16日 10:24 未恢复 至今解决方案配置webserver关闭cgi.fix_pathinfo为0 或者 配置webserver过滤特殊的php文件路径例如:

1234if ( $fastcgi_script_name ~ ..*/.*php ){return 403;}

一般来说网上多是nginx用户有此漏洞,此处客户的环境是windows server 2008R2的IIS,这里我在‘处理程序映射’里找到php的双击进入此界面

进入‘请求限制’

确定后就可以了。

测试:

在服务器上根目录新建一个phpinfo()的JPG文件test.jpg,访问https://www.hack56.com/images/qkcxodbux41.jpg/1.php(test.jpg后面的php名字随便写),如果有漏洞则可以看到phpinfo()的信息,反之会返回404错误。

后记:

nginx里面处理此问题,网上的解决 *** 是写入

try_files $fastcgi_script_name =404;

到fastcgi.conf里面,然后在location中引用

1234location ~ \.php$ {fastcgi_pass unix:/tmp/phpfpm/php-fpm.sock;include fastcgi.conf;}

 当然大家又可以参考这篇文章,360给出的解决 ***  IIS PHP fastcgi模式 pathinfo取值错误任意代码执行漏洞修复 ***


相关文章

斗渔鸡排如何加盟?好品牌轻松简单加盟

斗渔鸡排如何加盟?好品牌轻松简单加盟

跟着美食产物的不绝增多,鸡排加盟品牌也是不会错失这样的成长商机和成长的好时机的,斗渔鸡排加盟品牌应时代的需求降生了,虽然与此同时同行业的鸡排加盟品牌也是接踵而来。可是想要在浩瀚加盟品牌傍边脱颖而出也长...

网络危机处理_找黑客黑掉微信-黑客接单平台

Office类型的缝隙运用(CVE-2014-4114)–>邮件–>下载歹意组件BlackEnergy侵入职工电力工作体系–>BlackEnergy持续下载歹意组件(KillDisk...

男生夏天穿什么颜色的上衣(夏季男生穿哪些颜

男生夏天穿什么颜色的上衣(夏季男生穿哪些颜

黑白搭配是比较保险的,但是整个夏天你不能总是那个单调的颜色吧,现在就让小编为你推荐几款颜色大胆的衣服,让你夏季穿的出彩。 粉色衣服:男士千万别讨厌粉色,粉色绝不代表娘炮,也不代表gay,那种洗白效果...

怎么才能和老婆同时接收信息不被发现

  一颗价值超2亿钻石运抵上海   近日,一颗重达88克拉的黑钻,已从法国运抵上海,将在第三届中国国际进口博览会展出,这将是它的中国首秀。   据悉,这颗钻石被誉为“全球五大黑钻之一”,重88克拉...

微信对话框怎么换气泡(微信也有气泡对话框吗)

华为荣耀手机微信设定汽泡? 最先,手机微信的聊天气泡不象QQ,最新版的pc版微信,本身是沒有聊天气泡能够拆换的,假如要加上必须免费下载别的的应用软件。 下边以“变个聊天气泡”这款手机软件为例子,相近的...

为什么卸载了微信聊天记录没有了

微信聊天记录备份?微信是大家都熟知的一款社交工具,但对于怎么恢复误删的微信数据,很多小伙伴就不熟悉了,其实日常定。 这个不清楚,但是手机的微信聊天记录也是可以通过软件恢复的,用360安全卫士,具体步骤...