教你怎样用手机，远程控制另一台手机或电脑，只需要一个软件

第一步：安装远程控制软件toDesk。

首先我们需要在自己的手机和另一部手机或电脑上都要安装远程控制软件toDesk 。手机上，直接在应用市场里搜索安装就可以了。电脑上，可以百度一下，就能轻松找到。

toDesk支持几乎所有的系统 ，如：微软的windows系统、苹果的mac os系统、linux系统、苹果ios系统、谷歌的安卓系列、鸿蒙系统。安装方法跟安装其它软件一样，这里就不做过多介绍了。接下来通过2部手机来进行演示 。

第二步：登录同一个账号。

手机要想通过toDesk远程控制另一部手机或电脑，我们必须2部手机上的toDesk登录同一个账号（如下图）。这一点是必须的，否则就没有办法远程控制另一部手机了——在自己的手机上操作另一部手机。

第三步：在手机上远程操作对方的手机或电脑。

然后，我们就可以在自己的手机上操作另一部手机或电脑了。第一次远程控制时，还需要在2部手机上简单设置一下。

1、另一部手机的设置。

打开另一部手机上的todesk（如下图）。

点击“允许远程本设备”右侧的开关，这时底部会弹出“选择被控模式”弹窗（如下图）。

选择“控制模式”（如上图），然后在弹出的窗口中点击“确定”和“允许”，进入“权限丢失”界面（如下图）。

点击“开启权限”按钮，就会进入“无障碍”界面（如下图）。

拉到最底部，有一个“已安装的服务”选项，点击它，进入“已安装的服务”界面（如下图）。

点击ToDesk选项右侧的开关，然后把它的开关打开，变成蓝色（如下图）。另一部手机就设置好了。

然后返回到todesk的首页，这时会显示“设备代码和临时密码”（如下图），这个在我们远程控制时会用到。

2、自己手机的设置。

在自己的手机上打开todesk（如下图）。

在输入框中输入“远程设备代码”，也就是另一部手机的代码。然后点击“远程控制”按钮，这时会弹出一个弹窗，需要我们输入“连接密码”，也就是另一部手机todesk首页显示的“临时密码”。

输入好密码后，点击“连接”，这时，另一部手机上会弹出“XXX正在控制你的设备”的界面（如下图）。

点击“我已知晓”，然后，远程控制就连接成功，这时，2部手机上的画面会显示一样的，都是另一部手机的界面（如下图）。然后，我们就可以在自己的手机上操作另一个手机上的所有的功能。

这里演示的是2部手机之间的远程控制操作步骤，手机远程控制电脑、电脑远程控制手机、电脑远程控制电脑的操作方法，基本上都差不多 ，感兴趣的可以自己试试哦。

今天就分享到这里，如果觉得好，那就长按下面的“点赞”按钮，给我来个【超级赞】吧 。同时，欢迎“评论、收藏、关注”。你还可以点击我的头像，进入我的主页，观看更多的文章和视频。好了，我们下期再见。

网络安全漏洞分析之远程代码执行

介绍

Apache Flume 是一个分布式的，可靠的，并且可用于高效地收集，汇总和移动大量日志数据的软件。它具有基于流数据流的简单而灵活的体系结构。它具有可调的可靠性机制以及许多故障转移和恢复机制，并且具有健壮性和容错性。它使用一个简单的可扩展数据模型，该模型允许进行在线分析应用程序。

漏洞描述

在7月22日，Apache发布安全公告，修复了一个存在于Apache Flume中的远程代码执行漏洞，CVE编号为CVE-2022-34916。当攻击者控制目标 LDAP 服务器时，如果配置使用带有 JNDI LDAP 数据源 URI 的 JMS 源，Apache Flume 版本 1.4.0 到 1.10.0 很容易受到远程代码执行 (RCE) 攻击。

利用范围

1.4.0 <= Apache Flume <= 1.10.0

漏洞分析

环境搭建

从GitHub上下载1.10.0版本，导入IDEA。

项目jdk使用1.8，然后修改TestIntegrationActiveMQ 测试类中的DESTINATION_NAME，因为destinationName是由DESTINATION_NAME 定义；修改JNDI_PREFIX为ldap://

【一一帮助安全学习，所有资源关注我，私信回复“资料”获取一一】①网络安全学习路线②20份渗透测试电子书③安全攻防357页笔记④50份安全攻防面试指南⑤安全红队渗透工具包⑥网络安全必备书籍⑦100个漏洞实战案例⑧安全大厂内部视频资源⑨历年CTF夺旗赛题解析

在JMSMessageConsumerTestBase.java中将destinationLocator = JMSDestinationLocator.CDI;修改为destinationLocator = JMSDestinationLocator.JNDI;

最后运行TestIntegrationActiveMQ 测试类即可。

漏洞原理

根据Apache Flume漏洞描述，可以确定问题是出现在了JMSMessageConsumer中。

查看DIff（https://github.com/apache/flume/commit/7fe9af49）记录发现，修复方式是在JMSMessageConsumer中的else分支下，在initialContext.lookup(destinationName)前新增了对destinationName的校验。

那么漏洞触发点已经很明确了，在没有增加校验前，只要进入JMSMessageConsumer中else分支，控制destinationName参数，即可实现JNDI注入。

代码分析

知道了漏洞原理后，分析一下代码。

首先在TestJMSMessageConsumer#testCreateDurableSubscription 初始化了 JMSMessageConsumer 并传入 destinationLocator

destinationLocator的定义是在JMSMessageConsumerTestBase.java中。

在搭建环境时，我们是将destinationLocator = JMSDestinationLocator.CDI；修改为了destinationLocator = JMSDestinationLocator.JNDI；

这样配置，是为了在JMSMessageConsumer中不满足if条件后，能够进入到else，到达漏洞触发点。

而在官方提供的测试类中，TestIntegrationActiveMQ 类存在 testQueueLocatedWithJndi，将作为source点传入参数。

修改DESTINATION_NAME为恶意JNDI地址，将JNDI_PREFIX修改为ldap://

通过参数的传入，经过如上分析的流程，到达else后，由于没有校验，直接触发initialContext.lookup，造成JNDI注入，从而执行恶意远程代码。

漏洞复现

修复建议

官方已发布安全版本，请尽快更新至安全版本

相关问答

远程设置代码是什么?

远程设置代码是一种可以通过网络连接远程执行的代码。它可以通过Internet或局域网等多种方式进行传输和执行。远程设置代码可以让用户在不同地点控制和配置不...

远程控制设备代码和密码是临时的吗?

远程控制设备的代码和密码可以是临时的,也可以是永久的,这取决于设备的设置和使用需求。临时的代码和密码可以提高安全性,因为它们可以定期更改,防止未经授...

远程服务连接代码是什么?

远程服务连接代码mstsc远程服务连接代码mstsc

远程设备代码是什么?

是指用于远程连接并控制设备的类似密码的几个数字。远程设备代码在数据中心查看。需要用户对不同的设备进行连接方便管理;其中不同的设备编号在车辆上就可查...

电脑远程设备代码怎么看?

远程设备代码在数据中心查看。需要用户对不同的设备进行连接方便管理;其中不同的设备编号在车辆上就可查到,在其对应的中枢管理系统中;使用车辆上自带的电脑...

远程控制的连接码是什么?

远程控制的连接码是一种唯一的标识符,用于建立远程访问和控制设备的连接。它通常由数字和字母组成,具有一定的长度。连接码可以通过各种方式获取,例如通过软件...

海鸥云电脑远程设备代码是多少?

设备代码MS05-039名称:即插即用中的漏洞可能允许远程执行代码和特权提升KB编号:899588等级:严重此更新可消除一个秘密报告的新发现漏洞。即插即用(PnP)...

todesk远程控制没有远程代码怎么回事?

Todesk远程控制并不是远程控制代码,而是一种远程控制工具,它通过网络连接,使用户可以远程控制另一台电脑。它没有远程代码,是因为它只是一个工具,可以通过安...

远程代码执行漏洞的解决方案?

首先,开发人员在编写代码的同时应该遵循安全性规则并严格筛查输入参数,以防止任意代码执行漏洞的发生。其次,应该使用SAST和DAST等工具来测试程序的安全性,...

海鸥云电脑远程设备代码是什么?

海鸥云电脑远程设备代码是一串由数字和字母组成的唯一标识符,用于识别和连接远程设备。根据不同的应用场景和需求,可以生成不同的远程设备代码。在海鸥云电脑...