极限oa。。
官网oa.sohuu.com:81
一起打包提交吧(大部分是post注入,需自己抓包),这里先拿一个来测试,其他也存在注入,不一一证明了。
delete_str未过滤。可直接注入
�������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������
root权限可直接getshell,,求两个$$求高rank
极限oa。。
官网oa.sohuu.com:81
一起打包提交吧(大部分是post注入,需自己抓包),这里先拿一个来测试,其他也存在注入,不一一证明了。
delete_str未过滤。可直接注入
root权限可直接getshell,,求两个$$求高rank