本文介绍了宝塔7.4.2版本存在的未授权访问漏洞,用户无需密码即可直接进入phpMyAdmin面板。通过FOFA搜索引擎可发现大量受影响的系统。建议用户升级到7.4.3版本或修改配置文件以修复问题。同时,文中提及该漏洞导致部分Gov网站被黑,引起了广泛关注。
注:因个别原因无法自行复现,转载自各公众号,略微进行修改添加
目录
0x01 漏洞复现
下载linux7.4.2版本宝塔,使用root用户执行(当前使用centos系统),添加权限安装
7.4.2linux版本下载链接:https://pan.baidu.com/s/1nUMGvof_9I4JdVtk2Z0sMA 提取码:stuj
chmod +x install.sh
./install.sh安装完成后,会回显用户密码以及登陆地址
踩坑点:登录后,分别安装apache2.4、mysql、php、phpmyadmin四个软件如果apache2.4安装不上,安装ngnix。
安装完成后下拉至底部,点击phpMyAdmin5.0可查看到访问地址
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
