35刺猬建站系统危险过滤不全 – 莫言斋

35刺猬建站系统危险过滤不全

2011-9-22 12:48

|

Wooyun

|

192

|

0

刺猬建站是35互联推出的新一代标准化网站建设服务，极大地降低了建站和更新成本。刺猬建站功能齐全、方便易用，深受中小企业欢迎。此次漏洞属于危险代码过滤不全所致，可直接getshell，危害甚大~

此次漏洞属于PHP危险代码过滤不全所致！！
在用户管理后台，弹出窗口文件notice.php

这里只是简单地过滤了：

<? 
phpinfo(); 
?>

但是没有过滤php文件的另外一种写法：

<script language="php">
phpinfo();
</script>

直接getshell，菜刀测试结果如图：

本文链接：https://www.moyan.net.cn/wooyun/303.html
本文标题：35刺猬建站系统危险过滤不全
本文声明：如无特殊说明，您可以自由转载本文，但需标注转载自莫言斋（https://www.moyan.net.cn/）。本站部分文章信息来源于互联网及公开渠道，如侵犯到您的权益，请及时联系我们（94372#qq.com）处理！

getshell wooyun 三五互联黑客

暂无评论

发送评论编辑评论

Markdown

悄悄话

邮件提醒

|´・ω・)ノ

ヾ(≧∇≦*)ゝ

(☆ω☆)

（╯‵□′）╯︵┴─┴

￣﹃￣

(/ω＼)

∠( ᐛ 」∠)＿

(๑•̀ㅁ•́ฅ)

→_→

୧(๑•̀⌄•́๑)૭

٩(ˊᗜˋ*)و

(ノ°ο°)ノ

(´இ皿இ｀)

⌇●﹏●⌇

(ฅ´ω`ฅ)

(╯°A°)╯︵○○○

φ(￣∇￣o)

ヾ(´･･｀｡)ノ"

( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃

(ó﹏ò｡)

Σ(っ °Д °;)っ

( ,,´･ω･)ﾉ"(´っω･｀｡)

╮(╯▽╰)╭

o(*////▽////*)q

＞﹏＜

( ๑´•ω•) "(ㆆᴗㆆ)

颜文字

Emoji

小恐龙

花!