我正在尝试学习NodeJS渗透测试过程,我在Nodejs网站中发现了一个远程文件上传漏洞,可以像在PHP或ASPX中一样执行命令并执行命令吗?我可以从此shell上传NodeJS shell.js并在服务器中执行unix命令吗?
答案 0 :(得分:0)
不确定这是否是您要查找的内容,但是如果您能够将NodeJS脚本上传到服务器 并执行它,那么可以,您可以使用{ {3}}(有关类似的问题/答案,请参见child_process.exec。)
答案 1 :(得分:0)
只有在您可以“执行”文件的情况下才有可能。
但是,如果您可以“执行” JavaScript代码,则可以使用以下代码创建反向外壳程序:
library(dplyr)
data <- data %>%
group_by(Pitcher) %>%
mutate(`Pitch.Spin..rpm.` = replace(`Pitch.Spin..rpm.`,
`Pitch.Spin..rpm.` < 1500, mean(`Pitch.Spin..rpm.`, na.rm = TRUE)))
否则,如果您无法执行文件,那么您只会看到文件的内容: