时隔两年多了,有人还记得 vivo 快应用的那个"后门"么?

2023-10-23 18:48:37 +08:00
 droidmax61
原帖地址

https://www.v2ex.com/t/778678



直到现在,用 fofa 还是可以搜到 4k-5k 这个量级的独立 ip 主机在线。然后就是这几天无聊突然想到这个帖子,花了点时间,把 PoC 给整了一下,下载地址: https://www.igdl.me/s?id=kjxzr9oz4yxzbdcr

有效期 30 天,热度过去了,vivo 官方应该都已经基本修复了这个问题,至于 fofa 上搜出来的应该都是没更新系统的设备咯。。
1800 次点击
所在节点    分享发现
10 条回复
droidmax61
2023-10-23 18:50:09 +08:00
工具源码在我 github 公开的某个仓库当中
zjp
2023-10-23 19:14:15 +08:00
和这个关不了 UPnP 的路由器很配 https://www.v2ex.com/t/984287
droidmax61
2023-10-23 21:10:30 +08:00
https://www.igdl.me/s?id=itzvvwzbmcq96h3j
调整了一下请求超时参数为 10 秒
droidmax61
2023-10-24 00:18:07 +08:00
这个漏洞有没有可能可以用来出一道 ctf 赛题?但漏洞的细节都应该都知道了以及过了这么久,还会有人想玩么?
droidmax61
2023-10-24 05:53:15 +08:00
https://www.igdl.me/s?id=ga46x8swn0xg7no1
完善了多线程请求逻辑,以及异常处理
777777
2023-10-24 14:22:07 +08:00
搞安全的就注意点,别直接给 exe 吧
777777
2023-10-24 14:22:45 +08:00
@droidmax61 #5 沙箱报毒了
droidmax61
2023-10-24 14:57:07 +08:00
直接用 pyinstaller 打包的,没使用 upx 压缩,无加密,可以直接提取脚本源码
droidmax61
2023-10-24 16:45:57 +08:00
https://www.igdl.me/s?id=9pl7yab8poqyg3ok
优化使用管道符操作时的异常处理
droidmax61
2023-10-25 15:51:55 +08:00
https://www.igdl.me/s?id=91x1yimvfz0iavnt
新增了两个 uri 参数用于指定 url 中 p 和 a 参数

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/984625

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX