首页 > 网站安全 > 安全设置 > → 正文内容

多酷解析漏洞导致代码执行

发布时间:2015-10-19 08:45 整理发布:微盾技术网

某晚无意中寻得百度旗下某站后台一枚,登陆之,寻上传点,有过滤,解析漏洞,得shell
 
有漏洞的是百度旗下原创文学网站---多酷(http://yc.admin.duoku.com/),该后台应该是文学作者发布管理作品的,直接上图吧
 
 
 
1、直接以百度账号登陆
 
 
 
 
 
2、后台“申请签约”-----“上传身份证图片”,上传phpshell图片
 
 
 
 
 
3、生成图片网址,后面加“/.php”,得shell
 
 


 
 
修复方案:
该网段拥有众多百度主机,请加紧排查修复,千里之堤,溃于蚁穴~~
 
另外,图中的shell尚未删除,还请留意...

您可能感兴趣的文章: