騰訊安全御見(jiàn)威脅情報(bào)中心近期捕獲到一批偽裝成各類正常“軟件程序”進(jìn)行攻擊的病毒,看起來(lái)可能下載了個(gè)工具軟件,運(yùn)行后,“偽裝者”木馬內(nèi)置的惡意腳本就會(huì)從病毒控制者的服務(wù)器下載遠(yuǎn)程控制木馬和門(mén)羅幣挖礦木馬運(yùn)行。騰訊安全專家建議用戶注意防范,使用騰訊電腦管家保護(hù)系統(tǒng),運(yùn)行軟件安裝包前,先檢查安裝包的大小和數(shù)字簽名。
被病毒假冒的軟件程序包括游戲軟件、文檔閱讀軟件、視頻播放軟件、瀏覽器等。病毒執(zhí)行后釋放VBS腳本,連接服務(wù)器下載另一段腳本代碼執(zhí)行,并通過(guò)腳本下載安裝DarkComet木馬對(duì)電腦進(jìn)行遠(yuǎn)程控制,同時(shí)植入門(mén)羅幣挖礦木馬。通過(guò)關(guān)聯(lián)分析還發(fā)現(xiàn)木馬下載服務(wù)器傳播的另一個(gè)樣本,該樣本會(huì)利用瀏覽器登錄密碼搜集工具WebBrowserPassView搜集用戶密碼,保存到文件并上傳至服務(wù)器。
此次攻擊的特點(diǎn)為:在投放木馬時(shí)偽裝成各類軟件的安裝包,在最終植入的木馬運(yùn)行時(shí)又偽裝正常軟件的進(jìn)程名,用來(lái)下載惡意腳本代碼及病毒木馬的服務(wù)器是攻擊者入侵后控制的某些色情和酒店網(wǎng)站服務(wù)器,“偽裝者“木馬還會(huì)使用短鏈接地址、服務(wù)器校驗(yàn)等方法來(lái)躲避分析人員的追蹤。
在整個(gè)攻擊過(guò)程中使用大量網(wǎng)民熟悉的軟件名稱來(lái)命名木馬文件,通過(guò)攻擊其他網(wǎng)站來(lái)下載自己的惡意程序,十分善于隱藏和偽裝自身,因此我們將其命名為“偽裝者”木馬。
“偽裝者”木馬攻擊流程
以其中一個(gè)偽裝成知名PDF閱讀軟件的木馬進(jìn)行分析:
從官網(wǎng)下載的正常的Foxit Reader安裝程序的屬性,其版本已經(jīng)更新到9.5.0.20723,擁有合法的數(shù)字簽名,并且文件大小為75.8M
而查看木馬偽裝成Foxit Reader的病毒程序?qū)傩裕@示文件版本為2.3.2008.2923,沒(méi)有數(shù)字簽名,并且文件大小也只有200K,從信息來(lái)看非常可疑
分析發(fā)現(xiàn)木馬使用7-Zip SFX生成了可執(zhí)行程序,生成時(shí)通過(guò)壓縮算法進(jìn)行壓縮,木馬的體積會(huì)大大減小
運(yùn)行后釋放子木馬到目錄%AppData%ZipSfx.000\dgfvg6t346teg.exe,將母體中包含的PE數(shù)據(jù)寫(xiě)入文件中, 然后拉起木馬執(zhí)行
dgfvg6t346teg.exe先判斷是否已經(jīng)存在指定的VBS腳本文件,若存在則將原來(lái)的文件刪除,然后創(chuàng)建文件%AppData%\TouchpadDriver\TouchPad.vbs(文件名偽裝成觸摸板驅(qū)動(dòng)程序),并寫(xiě)入經(jīng)過(guò)混淆的VBS腳本代碼
混淆只是將字符替換成了字符碼,將執(zhí)行命令“Execute”轉(zhuǎn)換為顯示命令“WSH.echo”即可看到原來(lái)的代碼
腳本代碼拼接完整URL(hxxps://x.co//touchpad),并從該URL下載另一段VBS腳本代碼執(zhí)行
hxxp://x.co//touchpad是一個(gè)短鏈接地址,請(qǐng)求時(shí)同過(guò)重定向跳轉(zhuǎn)到hxxps://pornxxxx.com/wp-content/uploads/2018/04/?ver=5.3,然后從該地址下載惡意代碼
打開(kāi)該網(wǎng)站pornxxxx.com是一個(gè)色情網(wǎng)站,黑客攻陷了該網(wǎng)站并利用其服務(wù)器來(lái)下載木馬
分析時(shí)發(fā)現(xiàn)hxxps://pornxxxx.com/wp-content/uploads/2018/04/?ver=5.3在通過(guò)瀏覽器或其他下載軟件訪問(wèn)時(shí)會(huì)返回404錯(cuò)誤,無(wú)法下載到惡意代碼;而在病毒釋放的VBS腳本卻可以下載到惡意代碼。推測(cè)是木馬服務(wù)器對(duì)Get請(qǐng)求數(shù)據(jù)包的參數(shù)做了校驗(yàn),從而保證只在木馬運(yùn)行環(huán)境中返回代碼執(zhí)行
返回的代碼主要完成以下功能:
1、 結(jié)束可疑的挖礦進(jìn)程
2、 下載DarkKomet后門(mén)木馬植入
3、 下載門(mén)羅幣挖礦木馬啟動(dòng)挖礦
腳本下載木馬的地址:hxxp://www.thedecxxxxx.com/filegator/repository/tsl.png
下載后保存為到%temp%目錄,然后命名為ChromeInstaller-xxxxxxx.exe,偽裝為Chrome瀏覽器安裝包程序啟動(dòng)。通過(guò)進(jìn)一步分析可發(fā)現(xiàn),該木馬為DarkComet遠(yuǎn)控木馬,具有遠(yuǎn)程操作,敏感信息搜集等大量遠(yuǎn)控功能。
訪問(wèn)下載地址www.thedeckxxxxx.com為越南某酒店的網(wǎng)站,推測(cè)該網(wǎng)站已被黑客攻陷。
木馬下載運(yùn)行后拷貝自身到目錄:C:\Users\[guid]\Documents\MSDCSC\ChromeUpdater.exe,繼續(xù)偽裝成Chrome升級(jí)程序執(zhí)行
添加到注冊(cè)表Run啟動(dòng)項(xiàng),達(dá)到隨機(jī)啟動(dòng)
調(diào)試分析該遠(yuǎn)控木馬程序,可以看到,樣本運(yùn)行后會(huì)讀取資源區(qū)中的”DCDATA”資源,然后進(jìn)行解密,解密后得到配置信息如下:
#BEGIN DARKCOMET DATA --
MUTEX={DC_MUTEX-NAFAPZM}
SID={pro-serv}
FWB={0}
NETDATA={10.119.193.17:2223|185.82.217.154:2223|185.82.217.154:4271}
GENCODE={w7qqzeFtkGwa}
INSTALL={1}
COMBOPATH={7}
EDTPATH={MSDCSC\ChromeUpdater.exe}
KEYNAME={Chrome Updater}
EDTDATE={16/04/2017}
PERSINST={1}
MELT={1}
CHANGEDATE={1}
DIRATTRIB={6}
FILEATTRIB={6}
SH1={1}
SH4={1}
SH7={1}
SH8={1}
SH9={1}
CHIDEF={1}
CHIDED={1}
PERS={1}
OFFLINEK={1}
#EOF DARKCOMET DATA --
通過(guò)解密出的信息可以知道,攻擊者使用的控制服務(wù)器地址為:
10.119.193.17:2223、185.82.217.154:2223、185.82.217.154:4271
根據(jù)木馬特點(diǎn)可以確定為DarkComet,是由一個(gè)來(lái)自法國(guó)的獨(dú)立程序員(Jean-Pierre Lesueur)開(kāi)發(fā)的遠(yuǎn)程訪問(wèn)木馬(RAT),該木馬自2014年起被發(fā)現(xiàn)由APT組織用于針對(duì)敘利亞地區(qū)的相關(guān)攻擊活動(dòng)中。當(dāng)作者發(fā)現(xiàn)該程序被用于間諜活動(dòng)后,便停止了繼續(xù)開(kāi)發(fā)。
該木馬具有信息搜集、網(wǎng)絡(luò)控制、電源操作、服務(wù)操作、下載執(zhí)行文件等大量遠(yuǎn)控功能:
下面是該后門(mén)程序執(zhí)行相關(guān)功能的代碼片段:
腳本在植入DarkComet木馬后,繼續(xù)執(zhí)行判斷系統(tǒng)版本為32位或64位,從而下載相應(yīng)版本的挖礦木馬
hxxp://89.161.175.214//diana/images/t6.ico
hxxp://89.161.175.214//diana/images/t3.ico
將挖礦木馬保存為%Appdata%\Microsoft\TeamViewer\TeamViewer_Service.exe(偽裝遠(yuǎn)程控制軟件TeamViewer),隨后拼接字符得到連接礦池所需的用戶名 “vazgen8882”,將其作為登錄參數(shù)啟動(dòng)挖礦程序
拼接字符:
挖礦進(jìn)程啟動(dòng)參數(shù):
%Appdata%\Microsoft\TeamViewer\TeamViewer_Service.exe
-o asia.cryptonight-hub.miningpoolhub.com:20580 -u vazgen8882.2 -p x
--donate-level=1 --safe -B
通過(guò)關(guān)聯(lián)分析發(fā)現(xiàn)下載DarkComet木馬的服務(wù)器目錄下存在另一文件
hxxp://www.thedecksaigon.com/filegator/repository/chor.jpeg
內(nèi)容為經(jīng)過(guò)混淆的VBS代碼,混淆方法與前文中用于下載的腳本一致,解碼后發(fā)現(xiàn)腳本功能同樣為下載和執(zhí)行木馬,并且會(huì)將木馬搜集到的信息上傳到服務(wù)器
混淆的VBS腳本:
解碼后的腳本:
該VBS腳本下載的木馬
(hxxp://www.thedeckxxxxxx.com/filegator/repository/httpccr.com
)實(shí)際上為搜集和保存在瀏覽器中的各類網(wǎng)站登錄用戶名和密碼的工具WebBrowserPassView,黑客利用該工具其進(jìn)行攻擊時(shí)以隱藏窗口的狀態(tài)運(yùn)行(偽裝正常進(jìn)程名chrime-sync.exe),然后將搜集到的登錄密碼保存為text文件,并發(fā)送至服務(wù)器
hxxp:// 111.68.119.123/~prolabm/tempfiles/l/f/l.php
該工具正常運(yùn)行時(shí)界面如下:
搜集登錄密碼相關(guān)代碼如下:
將搜集的密碼數(shù)據(jù)保存為%Temp%favicon.ico,將其上傳至服務(wù)器
1、不要運(yùn)行來(lái)歷不明的程序。
2、在軟件下載站下載任何軟件需要十分警惕,注意查看軟件包的大小和數(shù)字簽名,如果發(fā)現(xiàn)要下載的軟件只在幾十KB到幾MB,又沒(méi)有數(shù)字簽名,建議刪除,推薦通過(guò)電腦管家的軟件管理下載安裝常用軟件。
3、保持殺毒軟件實(shí)時(shí)開(kāi)啟,攔截可能的病毒攻擊。
IOCs
MD5:
d08c4f6ef706216e7af4bee0b759d764
e609db4a8f2c64de9236f57a87bd049b
b55c4f882232c5451b1e977a7992d4ce
adc5a5db5a0e8064e1010ca76bbcabc5
779a0372b0df79e8eb4565e9af95f665
d409d54ff0da983effe23b21dd708aa6
5efc097ac23fd32c374b74e1c130c42d
7e0f9f1c138fc9dcc6b28091a2e042fb
24952c4208e049ccc05b17a509606442
6b0a6518f592044021ffc7cf1fec8c0d
444ec695f32858c3c8902185026d648f
IP
45.40.140.1
111.68.119.123
C&C
10.119.193.17:2223
185.82.217.154:2223
185.82.217.154:4271
URL
hxxp://x.co//touchpad
hxxps://pornxxxxx.com/wp-content/uploads/2018/04/?ver=5.3
hxxp://www.thedecksaigon.com/filegator/repository/tsl.png
hxxp://89.161.175.214//diana/images/t6.ico
hxxp://89.161.175.214//diana/images/t3.ico
hxxp://www.thedecksaigon.com/filegator/repository/httpccr.com
hxxp://www.thedecksaigon.com/filegator/repository/chor.jpeg
hxxp://111.68.119.123/~prolabm/tempfiles/l/f/l.php
微軟
世界上除了跑在linux服務(wù)器上的網(wǎng)站以外,還有大量的web server是跑在IIS站點(diǎn)上的,IIS(Internet Information Services)是由微軟公司提供的基于運(yùn)行Microsoft Windows的互聯(lián)網(wǎng)基本服務(wù)。
IIS7
IIS7新增了一個(gè)站點(diǎn)管理工具appcmd,可以使用該工具來(lái)配置和查詢 Web 服務(wù)器上的對(duì)象,并以文本或 XML 格式返回輸出。使用該工具,可實(shí)現(xiàn)如下IIS站點(diǎn)控制:
創(chuàng)建、配置和刪除站點(diǎn)、應(yīng)用程序、應(yīng)用程序池和虛擬目錄。
停止和啟動(dòng)站點(diǎn)。
啟動(dòng)、停止和回收應(yīng)用程序池。
查看有關(guān)在 Web 服務(wù)器上運(yùn)行的工作進(jìn)程和請(qǐng)求的信息。
一列表形式顯示IIS和ASP.NET的配置信息,并支持對(duì)IIS和ASP.NET的配置信息進(jìn)行修改
appcmd.exe工具所在路徑 C:\windows\sytstem32\inetsrv\appcmd.exe,它可以實(shí)現(xiàn)IIS站點(diǎn)全部管理功能;所以可以利用此命令,配置winrm(遠(yuǎn)程管理服務(wù)),可以實(shí)現(xiàn)遠(yuǎn)程自動(dòng)化控制IIS
IIS7
1.appcmd提供一組操作IIS操作對(duì)象,如下表:
| 對(duì)象名稱 | 描述 |
| site | 管理虛擬網(wǎng)站 |
| app | 管理應(yīng)用程序 |
| vdir | 管理虛擬目錄 |
| apppool | 管理應(yīng)用程序池 |
| config | 掛歷通用配置文件 |
| wp | 掛歷工作進(jìn)程 |
| request | 管理http請(qǐng)求 |
| module | 管理服務(wù)器模塊 |
| backup | 管理服務(wù)器配置備份 |
| trace | 管理失效請(qǐng)求跟蹤日志 |
2.appcmd.exe工具支持的命令:
add
clear
configure
delete
inspect
install
list
lock
migrate
recycle
reset
restore
search
set
start
stop
uninstall
unlock
命令總是位于操作對(duì)象之前,而屬性總是位于操作對(duì)象之后,這樣就可以通過(guò)創(chuàng)建一個(gè)類似于一條語(yǔ)句的結(jié)構(gòu),在這個(gè)結(jié)構(gòu)中,appcmd.exe通知對(duì)象做某事。
一、例如對(duì)程序池操作
1、列出一個(gè)對(duì)象所有實(shí)例
appcmd.exe list app
2、列出獨(dú)一無(wú)二的對(duì)象實(shí)例
appcmd.exe list app "Default Web Site/"
3、列出滿足一定準(zhǔn)則的對(duì)象實(shí)例
appcmd.exe list app /apppool.name:"defaultapppool"
4、列出對(duì)象的詳細(xì)信息
appcmd.exe list app "default web site/"/text:*
5.列出所有XXX應(yīng)用程序池的應(yīng)用程序
appcmd.exe list app /text:/apppool.name:XXX
6、列出網(wǎng)站的配置信息
appcmd.exe list site "default web site "/config
7、更換應(yīng)用程序池
appcmd.exe set app "default web site/" /applicationpool:"XXX"
8、添加新的應(yīng)用程序池
appcmd.exe add apppool /name:"XXX"
9、刪除應(yīng)用程序池
appcmd.exe delete apppool /apppool.name:"XXX"
10、列出所有的應(yīng)用程序池的詳細(xì)信息
appcmd.exe list apppool
11、查詢所有應(yīng)用程序池狀態(tài)為started的
appcmd.exe list apppools /state:started
12、關(guān)閉指定應(yīng)用程序池
appcmd.exe stop appPool /appPool.name:"XXX"
13、開(kāi)啟指定應(yīng)用程序池
appcmd.exe start apppool /apppool.name:"XXX"
二、對(duì)請(qǐng)求的操作
監(jiān)視當(dāng)前的請(qǐng)求
appcmd.exe list request
request對(duì)象可以使用屬性來(lái)找到特定的信息,通過(guò)使用屬性,可以返回某個(gè)運(yùn)行時(shí)間(毫秒)超過(guò)預(yù)設(shè)值的網(wǎng)站、應(yīng)用程序池、工作進(jìn)程、URL,以及請(qǐng)求的信息。request對(duì)象所使用的屬性包括:
1、基于網(wǎng)站ID的請(qǐng)求
appcmd.exe list request /site.id:1
2、基于應(yīng)用程序池的請(qǐng)求
appcmd.exe list request /apppool.exe:DefaultAppPool
3、基于工作進(jìn)程的請(qǐng)求
appcmd.exe list request /wp.name:"1044"
4、基于網(wǎng)站名稱的請(qǐng)求
appcmd.exe list request /site.name:"Default web Site"
5、基于進(jìn)程運(yùn)行時(shí)間的請(qǐng)求
appcmd.exe list request /elapsed:"1000"
三、站點(diǎn)備份與恢復(fù)
1、備份站點(diǎn):
appcmd.exe add backup backupname
2、列出備份:
appcmd.exe list backup
3、恢復(fù)備份
在恢復(fù)一個(gè)備份時(shí),IIS停止運(yùn)行,并且重寫(xiě)服務(wù)器的狀態(tài)。一旦配置文件被重寫(xiě),IIS隨即重新啟動(dòng)。如果不希望IIS停止運(yùn)行并重新啟動(dòng),那么可以是使用/stop:false。這樣,就可以在合適的時(shí)間手動(dòng)停止IIS運(yùn)行,并手動(dòng)重新啟動(dòng)IIS
appcmd.exe restore backup /back.name:"XXX" /stop:false
appcmd.exe restore backup /backup.name:"XXX"
4、刪除備份
appcmd.exe relete backup XXX
四、列出服務(wù)器的配置信息
1、列出服務(wù)器的整體配置信息
appcmd.exe list config
2、列出默認(rèn)Web網(wǎng)站的配置
appcmd.exe list config "Default Web Site/"
3、當(dāng)需要顯示默認(rèn)web網(wǎng)站的配置內(nèi)容時(shí),為了減少顯示內(nèi)容,可以執(zhí)行
appcmd.exe list config "Defaul Web Site/" /section:system.net/settings
4、獲取所有可用節(jié)點(diǎn)
appcmd.exe list config -section:?
五、編輯配置節(jié)點(diǎn)信息
1、啟用全局IPv6
appcmd.exe set config /section:system.net/settings -ipv6.enabled:"true"
2、在全局配置中啟用了IPv6,現(xiàn)在要在默認(rèn)的web中引用IPv6
appcmd.exe set config "http://localhost" /section:system.net/settings -ipv6.enabe:"false"
3、列出節(jié)點(diǎn)集合
appcmd.exe list config /section:httpErrors
4、編輯節(jié)點(diǎn)集合
例如把401錯(cuò)誤頁(yè)面有"401。htm"修改為"defaulterror.htm",通過(guò)使用加號(hào)(+)或者一個(gè)減號(hào)(-)添加 活刪除元素,刪除503狀態(tài)碼
appcmd.exe set config /section:httpErrors /-[statusCode='503']
appcmd.exe set config /section:httpErrors / [statusCode='401'].path:defaulterror.htm
六、對(duì)配置進(jìn)行加解鎖
1、解鎖
appcmd.exe unlock config "default web site" /section:system.web/authentication
2、加鎖
appcmd.exe lock config "default web site" /section:system.web/authentication
七、使用管道傳送XML數(shù)據(jù)
appcmd.exe list apppool /state:started /xml
@請(qǐng)關(guān)注木納哥的頭條,后續(xù)內(nèi)容更精彩@
近期,研究人員在InfiniteWP中發(fā)現(xiàn)了一個(gè)安全漏洞,這個(gè)漏洞存在于InfiniteWP的密碼重置機(jī)制之中,一旦成功利用該漏洞,未經(jīng)身份驗(yàn)證的用戶將能夠繞過(guò)身份驗(yàn)證限制,并實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。
InfiniteWP是一個(gè)免費(fèi)的WordPress多站點(diǎn)管理解決方案,只需要點(diǎn)擊一個(gè)按鈕,我們就可以輕松完成多個(gè)WordPress站點(diǎn)的管理任務(wù)。
但是,InfiniteWP中存在一個(gè)漏洞,該漏洞允許未經(jīng)身份驗(yàn)證的用戶通過(guò)系統(tǒng)中某個(gè)用戶的電子郵件地址進(jìn)行身份驗(yàn)證,這個(gè)漏洞存在于InfiniteWP的密碼重置機(jī)制當(dāng)中。
CVE-2020-28642Infinite WP 2.15.7及其更新版本
注意:官方悄悄修復(fù)了該漏洞,并且沒(méi)有記錄在更新日志之中,Infinite WP 2.15.7及其更新版本都不會(huì)受此漏洞的影響。
當(dāng)我們?cè)?020年9月通知供應(yīng)商時(shí),他們說(shuō)他們之前已經(jīng)知道了這個(gè)問(wèn)題(幾個(gè)月前向他們報(bào)告過(guò)),他們計(jì)劃在3-4周內(nèi)向所有用戶發(fā)布補(bǔ)丁。他們讓我們等到2021年1月,這樣他們就可以確認(rèn)他們所有的客戶都已經(jīng)修復(fù)了該漏洞。
幾天前,我們發(fā)現(xiàn)其他研究人員已經(jīng)發(fā)表了他的研究結(jié)果(大約在2020年11月),而供應(yīng)商沒(méi)有及時(shí)通知我們這一點(diǎn),因此我們決定發(fā)布關(guān)于該漏洞的完整信息。
InfiniteWP管理員面板負(fù)責(zé)創(chuàng)建密碼重置鏈接,負(fù)責(zé)該功能的代碼存在于userLoginResetPassword($params)函數(shù)之中,該函數(shù)位于controllers/appFunctions.php文件的第1341行代碼處:
$hashValue=serialize(array('hashCode'=> 'resetPassword', 'uniqueTime'=> microtime(true), 'userPin'=> $userDets['userID']));
$resetHash=sha1($hashValue);
[...]
$verificationURL=APP_URL."login.php?view=resetPasswordChange&resetHash=".$resetHash."&transID=".sha1($params["email"]);這里的$userDets[‘userID’] 是目標(biāo)用戶識(shí)別符,$params[“email”]則是用戶的電子郵件地址。在重置目標(biāo)用戶密碼的時(shí)候,攻擊者只需要目標(biāo)用戶的ID、電子郵件和調(diào)用microtime(true)生成的值,就能夠創(chuàng)建出重置密碼的鏈接。
通過(guò)創(chuàng)建包含所有可能的resetHash值的字典列表,我們可以爆破出正確的密碼重置令牌并重置目標(biāo)用戶的密碼。在24小時(shí)內(nèi)最多可以嘗試100萬(wàn)次爆破攻擊,不過(guò)密碼重置令牌將在24小時(shí)后將會(huì)過(guò)期。
在進(jìn)行漏洞利用PoC的測(cè)試過(guò)程中,攻擊所耗的平均時(shí)間為1個(gè)小時(shí)左右,也就是說(shuō),根據(jù)特定的網(wǎng)絡(luò)速度、擁塞和配置,攻擊所花的時(shí)間可能會(huì)不同。
此時(shí),攻擊者將能夠重置目標(biāo)用戶的密碼并訪問(wèn)InfiniteWP管理面板。而下一個(gè)漏洞將允許攻擊者在目標(biāo)主機(jī)上實(shí)現(xiàn)經(jīng)過(guò)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行。
早在2016年的時(shí)候,研究人員就曾在InfiniteWP管理員面板的2.8.0版本中發(fā)現(xiàn)了一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞,這個(gè)漏洞將影響/ajax.php API節(jié)點(diǎn)。關(guān)于該漏洞的詳細(xì)信息可以參考這篇【文檔】。正如報(bào)告中所寫(xiě),新版本通過(guò)添加了一個(gè)針對(duì)函數(shù)checkDataIsValid($action)(位于controllers/panelRequestManager.php的第3782行)的調(diào)用來(lái)修復(fù)了該漏洞。
private static function checkDataIsValid($action){
//Restricted function access
$functions=array('addFunctions');
if(!in_array($action, $functions)){
return true;
}
return false;
}但是,該檢查沒(méi)有考慮到PHP函數(shù)名不區(qū)分大小寫(xiě)的問(wèn)題,因此通過(guò)使用addfunctions(注意小寫(xiě)的“f”),可以繞過(guò)這個(gè)補(bǔ)丁并實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行了。