漏洞概要
关注数(24)
关注此漏洞
漏洞标题:心享网集团版官网代码执行漏洞
提交时间:2013-05-20 13:57
修复时间:2013-07-04 13:58
公开时间:2013-07-04 13:58
漏洞类型:命令执行
危害等级:高
自评Rank:10
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2013-05-20: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-07-04: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
心享网集团版官网存在代码执行漏洞,权限高,危险大。
详细说明:
2个星期前就发现了,百度的功劳,想再等等,看管理会不会修补,看来管理很忙。
存在代码执行的地址是:
http://www.icareishare.com.cn/soul/SoulFront/appointment_front_ashow.action?channelCode=10100&articleId=8a3f98963e9b5fc5013eb6ee07a8082a
1、查询当前权限
回显如下:
2、查看系统用户
3、接下来就是net user hacker f4ck123 /add & net localgroup administrators hacker /add
不过没成功,本来想直接丢给struts工具的,但是担心工具挂马,把漏洞地址外发,所以就没有深入
相信带上工具,就可以单刀直入了。然后就是挂马、远控....各种违法行为
漏洞证明:
修复方案:
版权声明:转载请注明来源 相关部们@乌云
漏洞回应