百度某子站点任意文件上传导致任意代码执行 上传后域名非baidu.com,但跟百度脱不了关系了,估计是合作商。
http://dev.mgame.baidu.com/sign/add
百度移动游戏开放平台
上传证件处存可以上传任意文件,但上传后却是
http://ycimg.m.duoku.com/group1/M00/05/A5/CgoAMVNrex6ECRpRAAAAAOQaGIc280.php
ycimg.m.duoku.com 这个域,很可能是百度的合作商。
上传后,shell 没权限删,你们处理下吧。
修复方案:
限制上传