百度某分站某漏洞可导致命令执行和数据泄漏

问题出在百度地图LBS开放平台 http://bbs.lbsyun.baidu.com/ ,
习惯性的在logo URL后面中上了/.php,见图
http://bbs.lbsyun.baidu.com/images/default/baidu_logo.gif/.php

并没有出现正常的“找不到文件”,而是直接爆出路径, 猜测应有解析漏洞,于是找个帖子上传个一句话图片马,Discuz 7.2的,还好没过滤~

http://bbs.lbsyun.baidu.com/attachments/month_1305/13052518193284fcae877eeb41.gif,直接菜刀连接,

找到数据库连接信息,连接看了下

会员一共2599枚,管理员密码d813186c2b076e696d9955621c2b5c1c:dda447在cmd5上没解出来,于是也就没再继续深入了

还有bbs、ucenter的备份文件,也请留意及时删除

本文链接:https://www.moyan.net.cn/wooyun/1187.html
本文标题:百度某分站某漏洞可导致命令执行和数据泄漏
本文声明:如无特殊说明,您可以自由转载本文,但需标注转载自莫言斋(https://www.moyan.net.cn/)。本站部分文章信息来源于互联网及公开渠道,如侵犯到您的权益,请及时联系我们(94372#qq.com)处理!
暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇