概述
Terramaster TOS是一款基于Linux平台的、专用于TerraMaster云存储NAS服务器的操作系统。Terramaster TOS 4.2.29版本存在漏洞,可能允许经过身份验证的远程攻击者在系统上执行任意命令,这是由 createRaid 模块中的缺陷引起的。通过发送特制命令,攻击者可以利用此漏洞在系统上以 root 身份执行任意命令。最新版本已对漏洞进行修补,建议更新到最新版本。
固件分析
从官网下载固件,这里我们选择F2-220
4.2.28
版本。
铁威马使用nginx,解压后在/etc/nginx/nginx.conf
中可以找到相关配置。
查看/usr/www
发现php文件均被加密,使用二进制工具查看。
可以看到前面32个字节为一串数字加上