机缘巧合之下发现的这个漏洞,算是一种组合。利用条件有点苛刻,谨防投毒钓鱼。不得不说 G*by 产品做的非常的不错,我个人在平时也经常使用。22年在国护期间也挖掘过一次利用条件有点苛刻的RCE,当时内部处理也给了我丰厚的赏金。最近特殊时期,各位RT小心反制。
漏洞版本:<=最新版本 2.9.5
昨天删了是因为想先提交一下官方,问了G*by相关人员:内部已知。那么我就公开一个演示,细节暂不公开。
承接红蓝对抗、安全众测、安全培训、CTF代打、CTF培训、PHP / JAVA / GO / Python 代码审计、渗透测试、应急响应、免杀/远控开发、二进制漏洞挖掘、Web3安全服务、智能合约代码审计 等等的安全项目,请联系下方微信。