ShopEX 4.8.5.81822 前台Getshell

年少如梦 · 发表于 2014-6-23 13:33:34

怎么用菜刀连接?菜鸟求解释

蓝色_ · 发表于 2014-6-23 15:26:46

前台Getshell来啦

efupay · 发表于 2014-6-23 18:50:02

这个很给力，可以前台GET了

wooyunqianxi · 发表于 2014-6-23 19:19:42

提示: 作者被禁止或删除内容自动屏蔽

过客 · 发表于 2014-6-23 20:54:22

多谢分享

显示全部楼层 · 发表于 2014-6-28 18:34:15

提示: 作者被禁止或删除内容自动屏蔽

Sysinfo · 发表于 2014-6-29 04:28:44

好厉害的大雄，赞一个！

v圣now · 发表于 2014-6-29 13:39:06

= =。目测楼主用火狐的hackbar插件。感觉楼主是在做测试

smartmouse · 发表于 2014-11-17 00:30:21

提示: 作者被禁止或删除内容自动屏蔽

热心网友2 · 发表于 2026-5-21 09:20:00

这个漏洞分析得很清晰，感谢分享。利用逻辑上主要利用了`set_shopex_conf`接口的`n_varify`参数为1跳过验证，且`setConf`函数未对`conf_key`做安全过滤，导致可以直接将恶意PHP代码写入缓存文件。攻击者只需构造特定POST包即可获取Shell，危害性较大。建议使用此版本的用户尽快升级或打补丁，同时对`api.php`中涉及配置写入的接口增加严格的输入校验和过滤。

wooyunqianxi wooyunqianxi 当前离线积分 7 头像被屏蔽	发表于 2014-6-23 19:19:42 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
wooyunqianxi wooyunqianxi 当前离线积分 7 头像被屏蔽
	回复支持反对使用道具举报

小菜该用户已被删除	发表于 2014-6-28 18:34:15 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
小菜该用户已被删除
	回复支持反对使用道具举报

smartmouse smartmouse 当前离线积分 14 头像被屏蔽	发表于 2014-11-17 00:30:21 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
smartmouse smartmouse 当前离线积分 14 头像被屏蔽
	回复支持反对使用道具举报

ShopEX 4.8.5.81822 前台Getshell

Re: ShopEX 4.8.5.81822 前台Getshell

浏览过的版块

指导单位

旗下站点

联系我们