渗透系列(实战):YApi 接口管理平台 后台任意命令执行漏洞、蓝海卓越计费管理系统 debug.php 远程命令执行漏洞、畅捷CRM 后台附件任意文件上传漏洞和get_usedspace.php




一. 实战 - YApi 接口管理平台 后台任意命令执行漏洞

YApi 接口管理平台后台任意命令执行漏洞反弹shell拿到服务器权限

漏洞描述

YApi 接口管理平台 后台存在命令执行漏洞,攻击者通过发送特定的请求可执行任意命令获取服务器权限

漏洞影响

YApi 接口管理平台
默认端口:3000

漏洞复现

登录页面
在这里插入图片描述
注册账户并登录
在这里插入图片描述

添加项目,参数任意

posted @   坦笑&&life  阅读(26)  评论(0编辑  收藏  举报  
相关博文:
阅读排行:
· 一个费力不讨好的项目,让我损失了近一半的绩效!
· 实操Deepseek接入个人知识库
· CSnakes vs Python.NET:高效嵌入与灵活互通的跨语言方案对比
· 【.NET】调用本地 Deepseek 模型
· Plotly.NET 一个为 .NET 打造的强大开源交互式图表库
点击右上角即可分享
微信分享提示