漏洞概要
关注数(24)
关注此漏洞
漏洞标题:神器而已之当当某站Struts2命令执行漏洞(绕过过滤)
提交时间:2016-07-11 13:13
修复时间:2016-07-16 18:30
公开时间:2016-07-16 18:30
漏洞类型:命令执行
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2016-07-11: 细节已通知厂商并且等待厂商处理中
2016-07-11: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-07-16: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
神器在手,天下我有。
详细说明:
从TangScan提交插件赚取汤圆购买了另一个插件,扫到当当一个站点的Struts2命令执行:
漏洞地址:http://caipiao.dangdang.com/cbportal/usercenter/hemai.htm
此处应有防护或过滤,之前的Payload都不好使了。
测试Payload:
列目录:
执行命令:
ifconfig的结果解码后:
证实漏洞存在,不再深入,执行命令的Payload附在下面:
列目录脚本:
漏洞证明:
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2016-07-16 18:30
厂商回复:
漏洞Rank:15 (WooYun评价)
最新状态:
暂无