微力同步 Linux-v0.14.xx 版 漏洞,导致全目录可上传可下载

Linux-v0.14.xx 全版本通杀,WIN 无此漏洞,其他版本未测试(最新版本已修复)

默认关闭的远程管理端口8886是被开启的.而且显示是关闭的,很蛋疼,
QQ图片20180726235222.png

利用:
随意找一个大资源的同步码 同步数据 ,选择在线用户
QQ图片20180726235349.png

找到版本0.14以下的Linux客户端,鼠标放在头像上就能显示出IP
QQ图片20180726235507.png

打开浏览器 IP:8886 既可浏览全目录,

如果上传 就选择本地文件进行同步既可

解决办法:
升级0.15以上版本.或者 设置-界面-禁止远程访问,开启一次保存,在关闭一次保存即可


发表评论

  • OωO
  • |´・ω・)ノ
  • ヾ(≧∇≦*)ゝ
  • (☆ω☆)
  • (╯‵□′)╯︵┴─┴
  •  ̄﹃ ̄
  • (/ω\)
  • ∠(ᐛ」∠)_
  • (๑•̀ㅁ•́ฅ)
  • →_→
  • ୧(๑•̀⌄•́๑)૭
  • ٩(ˊᗜˋ*)و
  • (ノ°ο°)ノ
  • (´இ皿இ`)
  • ⌇●﹏●⌇
  • (ฅ´ω`ฅ)
  • (╯°A°)╯︵○○○
  • φ( ̄∇ ̄o)
  • (งᵒ̌皿ᵒ̌)ง⁼³₌₃
  • (ó﹏ò。)
  • Σ(っ°Д°;)っ
  • ╮(╯▽╰)╭
  • o(*
  • >﹏<
  • (。•ˇ‸ˇ•。)
  • 泡泡
  • 颜文字

*

已有 5 条评论