本帖最后由 帝玺SSL 于 2023-6-13 19:16 编辑
思索许久,我正式回应下楼主:
本人北京时间2023-6-9 20点才了解到该漏洞
你不说还OK,你说了我们猛然发现这与我们服务器被攻击的时间正好对应上;
我们关闭网站是避免RCE危害的进一步扩大,给 ACME.sh 修复流出窗口;并非被DDOS关闭,是我们主动关闭的。而且你帖子里面写了攻击点不是www1.hi.cn或者acme.hi.cn,而是 tencentcloud.accelerate.orion.pki.plus的一个大文件,用以在于消耗我们的CDN资源产生超额账单。
本人只刷了支付的cdn流量,Kamatera速度还只有8M/S
没错,你攻击的就是 tencentcloud.accelerate.orion.pki.plus,因为你的带领召唤和教唆,我们CDN统计瞬时带宽最高为1290Mbps。而非你说的8M/s。
这个不知道怎么回复,你这挑战火药味很浓,我们诉求很简单,账单肯定要由攻击者赔付的,按照腾讯云CDN价格0.21/GB,一共3400多GB,账单714元;四舍五入700元。如果态度很不友好,我们肯定会报案时候主张追究刑事责任。楼主这个事情不仅仅是进行网络攻击,而是组织者,是起到领导带头作用。
截图、日志等证明稍后提取回复在这个帖子楼层中。
----
第一次补充
支付网站北岸都没有,就一个为了支持比特币、虚拟货币支付的境外网站
不好意思,pki.plus 域名是正规北岸。目前只是法律立法禁止为虚拟货币提供入金出金提供便利,接受虚拟货币并没有被约束。
我们真没逃税漏税,除了部份无国内主体的客户,我们都是开正规的我们公司抬头的**的,这部份无论如何都不存在偷逃税的。
支付二维码和RCE区别都没有搞懂,你可真是个script kid
不好意思,你都尼玛30好几的广东人了,是giant boy。
有一个包, https://github.com/fukuchi/libqrencode ,linux下直接吐出能在命令行显示二维码的字节,我们直接把字节吐出给了acme客户端,输出在ssh shell下就是二维码
这是利用RCE来显示二维码?
具体我们用RCE来干什么的,我只截取下我发在外网的回应。懒得给你翻译了:
- RCE is only utilized to complete challenge response without CA grant our server the ACME abilities.
- If you are interested you may invest some programming resources to try to implement your owned domain ACME server with a commercial CA’s API to verify my viewpoint.
- Because acme tools only write challenge file into /.well-known/acme-challenge/ and It’s not possible if don’t output file into the /.well-known/pki-validation/ directory CA required. The only way we find is this.
- and further topic, acme has more differences than normal CA require:
- acme requires CSR submission in finalize, but traditional CA requires in new-order. *(my topic on letsencrypt forum, years ago: <<Why ACME requires domain auth first before CSR?>> https://community.letsencrypt.org/t/why-acme-requires-domain-auth-first-before-csr/98482)
- acme write challenge file to /.well-known/acme-challenge/ and traditional CA write in to /.well-known/pki-validation/
- acme the dns validation hostname is _acme-challange constantly, traditional CA is _<md5> or _dnsauth (ssl.com, sectigo and DigiCert, GlobalSign).
复制代码
|