通过指导学生上机实践,让学生学习利用TSP云平台的文件包含漏洞进行攻击的基础原理和操作的流程,了解除汽车本身外,TSP平台有几率存在的安全威胁,并加强安全防护意识。
本实验介绍一种对TSP云平台做文件包含漏洞利用的基本过程。利用本地文件包含查看服务器端的隐私文件,利用远程文件包含向服务器上传木马,并使用中国蚁剑连接木马,以此来实现对服务器的远程控制。
一个网站管理工具,也常用于授权人员对网站的安全渗透测试。本实验使用这个工具连接在远程文件包含中植入的网站木马。
打开TSP云平台登录页面,观察到URL的参数filename的值是一个login.php,是一个页面,因此推测该平台存在文件包含漏洞。
本实验在test目录内放了两个key.php文件。使用以下命令读取key1.php,能够获得解析后的内容。
除了读取服务器端的本地文件,还可通过远程文件包含向服务器上传木马,从而控制服务器。本实验已经在本地部署了一个apache服务器,并定义了木马生成文件 “shell.txt”。
打开中国蚁剑,点击右键,选择 “添加数据”,在 “URL地址” 中输入上一步上传木马使用的URL,连接密码为 “shell”。点击 “测试连接”,显示连接成功后,点击左上角 “添加” 来确认添加此连接。
双击该连接,能够正常的看到网站后台的所有文件,并能进行新建目录、上传文件等操作。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。举报投诉
远程升级(Over-The-Air,OTA)技术获得了广泛应用。然而,车载软件在远程升级过程中存在数据被仿冒、窃取、攻击的潜在风险。
与上海市国际展览(集团)有限公司(SIEC)共同主办的2023第二届中国
Shifting into Overdrive!——来自The 4th AutoCS 2023
这是一个我们联系…我们合作…我们发布…我们创造的社群… AutoCS是一个致力于
大会在上海举行,并于线上和线下同步进行。 本次会议为期两天,聚焦全方位
化功能,如主动刹车、自适应巡航、自动泊车等。这些功能在提高驾驶人员使用感受的同时,也成为教学中
标准体系建设总体方案》(以下简称《方案》)于12月24日在长春举行了隆重的发布会。 本次会议发布了首批基于商用密码算法的
风险和威胁不可以小看。近年来国内外标准组织和机构密集出台多个法规或标准,作为
保障能力,例如,联合国UNECE WP.29的R155法规,中华人民共和国工信部
模组、数字示波器、直流电流供应器、交流电流供应器、直流电子负载和交流被动式负载等。PTS系列使用计算机作为PSIM仿真与本教具烧录与监控的
问题也变得一天比一天突出。在车联网“云-管-端”的三个环节上,其实都暴露了若干可以被黑客攻击的端口,隐藏了
装置。该专利由北京北研兴电力仪表有限责任公司申请,并于2017年6月20日取得授权公告。
公司VisualThreat近日宣布完成A轮融资,由百度投资,融资金额未透露。资金将用于自动驾驶
标准制定工作也在持续进行中。国际组织(ISO/SAE)正进行21434(道路车辆-
工程)标准的制定。该标准主要从风险评估管理、产品研究开发、运行/维护、流程审核等四个方面来保障