作者平时在工作中,喜欢将遇到的bug或学习记录以笔记的形式记录下来。方便后期遇到同样的问题后能快速解决。而ShowDoc 是一个功能强大、易于使用、免费开源的文档管理系统。通过ShowDoc,可以方便地使用markdown语法来书写出美观的API文档、数据字典文档、技术文档、在线excel文档。故而,作者在自己的服务器中已经部署了该项目。但最近爆出了远程代码执行漏洞,而我的版本又在在漏洞影响范围内。顺便解决下吧!


攻击者通过SQL注入漏洞获取到token进入后台。进入后台后可结合反序列化漏洞,写入WebShell,从而获取服务器权限。

git 漏洞poc到本地环境。并安装相关依赖环境。
git clone https://github.com/huamang/showdoc_poc
pip3 install ddddocr -i "https://pypi.mirrors.ustc.edu.cn/simple/"
python3 sqli.py http://target

请尽快前往Github下载更新(https://github.com/star7th/showdoc)更新至V3.2.5及以上版本。