DayDayPoc社区新年礼盒远程掉落漏洞

预览

引言

daydaypoc社区被爆存在新年礼盒远程掉落漏洞，在野poc已公开。

Poc详情

`detail:`  `ID: 2024`  `Author: DayDay_Hacker`  `Name: DayDayPoc社区新年礼盒远程掉落漏洞`  `Description: DayDayPoc是盛邦安全烽火台实验室自主研发并运营的poc收录平台，集漏洞参考、分享与学习为一体，旨在通过凝聚全社会的安全技术力量，打造覆盖面更广、检测能力更强的一流漏洞扫描、验证平台，同时为广大漏洞研究者构建一个良好的漏洞研究生态圈。在新的一年到来之时，安全研究者发现该社区存在一个严重漏洞，导致社区官方会对给予过支持的白帽子们发放一份精美的礼盒，并会祝愿大家新的一年里漏洞多多，技术涨涨，薪酬翻倍，万事如意。`  `Identifier:`    `DVB: DVB-2024-0101`  `VulnClass:`  `- 远程礼盒掉落`  `Category:`  `- 小小心意`  `Manufacturer: DayDayPoc`  `Product: 新年礼盒`  `DisclosureDate: '2024-01-01'`  `Region: 中国大陆`  `Is0day: true`  `Condition: active_user = 1 && vuln_num>0 && Fill_in_the_shipping_address=1`  `Solutions:`  `- 若有任何疑问,请联系DayDayPoc运营君咨询。`  `Sources:`    `-活动界面链接`    `-https://www.ddpoc.com/``poc:`  `relative: req0`  `session: false`  `requests:`  `- method: GET`    `timeout: 10`    `path: /daydaypoc/submit/vulnnum`    `headers:`      `User-Agent: Happy New Year 2024``    follow_redirects: true``matches: (code.eq("200") && body.lengt("0"))`

参与方式

参考该漏洞的影响范围：

Condition: active_user = 1 【注册用户】&& vuln_num>0 【交过漏洞并审核通过】 &&  Fill_in_the_shipping_address=1【在个人中心更新了收件信息】

礼盒预计会在1月底发放

还没来得及交漏洞的小伙伴

还有机会参与哟

礼品参考

精致关公摆件 1个

定制扑克牌 2副

笔记本 1个

定制u盘 1个