中国移动某营销数据统计平台任意文件上传可getshell
中国移动大多数的"和xx"应用都有使用这个"用户行为分析与推荐平台"来收集机型、网络、版本等统计数据。ifconfig看到有几十T的流量..
在该平台注册一个帐号。
http://www.cm-analysis.com/
登录后点击右上角的"管理"-"添加应用"。添加logo这里可以上传文件。我们上传一个图片马,用burp拦截并把后缀改成php
上传成功。
地址:http://www.cm-analysis.com/logos/20140309/a41e26b2b0588b31e011d72ea8a84325.php
使用菜刀连接,密码ws。
吓坏了
修复方案:
移动更专业
版权与免责声明:
凡注明稿件来源的内容均为转载稿或由网友用户注册发布,本网转载出于传递更多信息的目的;如转载稿涉及版权问题,请作者联系我们,同时对于用户评论等信息,本网并不意味着赞同其观点或证实其内容的真实性;