美国VPS_搬瓦工CN2 GIA VPS
https://github.com/vulhub/vulhub/blob/master/aria2/rce/README.zh-cn.md
—
幸好下载站加了密码
香港网友:这个应该是自己作死才能有效果的吧
吉林网友:下载机一般都是吃灰的,还要先破译密码,等弄完了才发现啥也没有~~
澳门网友:要先能破译密码才行,当然你要是没设密码那当我没说,这些攻击随意就能做到
台湾网友:这得先把Aria2鉴权干掉,然后才能被利用,感觉对个人用的影响不大,个人用的基本都会加密码
吉林网友:你们的 Aria2 都是以 root 用户身份运行的吗?虽然瞟了眼文章说 Aria2 有逻辑上的 BUG
江西网友:装aria2的能是正经做站的吗,所以啊,随便整啦,无所谓啦
广西网友:没用过。但是,
如果aria2的XML-RPC和JSON-RPC接口没有访问权限相关设置,那么aria2设计上有问题。
否则,这不算漏洞,只能算设计上考虑的有点不完善。
河北网友:这个漏洞需要3个条件。
aria2的2个参数,一个设密码的,一个允许外部访问的,全部放行。
防火墙直接开放端口给公网。
aria2以root用户运行。
so,要作死哪里都是漏洞
天津网友:这是啥呀说的,不懂
未经允许不得转载:美国VPS_搬瓦工CN2 GIA VPS » aria2这么恐怖吗???
腾讯云轻量怎么购买,云轻量香港/美国/新加坡购买教程
亏了,刚才退款了一个greencloud日本
10欧的IPMI写什么申请理由好?
