Board logo

标题: [BUG反馈] 这是不是wdcp一个安全漏洞? [打印本页]
作者: qqww11    时间: 2013-12-10 19:43     标题: 这是不是wdcp一个安全漏洞?

本帖最后由 qqww11 于 2013-12-10 19:52 编辑

QQ图片20131210193329.jpg
2013-12-10 19:37


今天在检测漏洞的时候,发现wdcp管理软件下,网站开启限制目录功能,  但经测试webshell发现目录可以限制,但一句话木马可以执行虚拟终端命令
QQ图片20131210193058.jpg
2013-12-10 19:34



右键文件管理
QQ图片20131210193202.jpg
2013-12-10 19:46



webshell的目录已经被wdcp限制

返回图2 右键 执行虚拟终端  发现是可以执行的,整个web目录都可以读取。    阿里云的服务器,买完后直接安装的wdcp  ,别的都不会设置,但是发现能执行这个终端,或许wdcp能更加完善一些,能帮新手过滤下这个安全隐患
QQ图片20131210193941.jpg
2013-12-10 19:43


图片附件: QQ图片20131210193058.jpg (2013-12-10 19:34, 56.2 KB) / 下载次数 6848
http://www.wdlinux.cn/bbs/attachment.php?aid=3965&k=a9eb09e53b719f595dea4799f8a55a5c&t=1742256429&sid=cKSCRh



图片附件: QQ图片20131210193329.jpg (2013-12-10 19:37, 158.92 KB) / 下载次数 6917
http://www.wdlinux.cn/bbs/attachment.php?aid=3967&k=40907dd4536072791f4fbdf996fcc344&t=1742256429&sid=cKSCRh



图片附件: QQ图片20131210193941.jpg (2013-12-10 19:43, 37.14 KB) / 下载次数 6815
http://www.wdlinux.cn/bbs/attachment.php?aid=3968&k=3d10990ef997a57e597d6f3e2e778a92&t=1742256429&sid=cKSCRh



图片附件: QQ图片20131210193202.jpg (2013-12-10 19:46, 27.41 KB) / 下载次数 6800
http://www.wdlinux.cn/bbs/attachment.php?aid=3969&k=98ffa955b4cbcaf116b05bab6f3180e9&t=1742256429&sid=cKSCRh

作者: kideny    时间: 2013-12-11 09:06

还好我用的nginx。。。
作者: admin    时间: 2013-12-11 10:20

这个是PHP本身的原因

你PM个地址来,我研究看看



欢迎光临 WDlinux官方论坛 (http://www.wdlinux.cn/bbs/) Powered by Discuz! 7.2