漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-032273
漏洞标题:15个gov edu的IISPUT漏洞合集
相关厂商:gov edu
漏洞作者: lotte
提交时间:2013-07-25 15:17
修复时间:2013-09-08 15:18
公开时间:2013-09-08 15:18
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-07-25: 细节已通知厂商并且等待厂商处理中
2013-07-29: 厂商已经确认,细节仅向厂商公开
2013-08-08: 细节向核心白帽子及相关领域专家公开
2013-08-18: 细节向普通白帽子公开
2013-08-28: 细节向实习白帽子公开
2013-09-08: 细节向公众公开
简要描述:
详细说明:
filetype:do百度和google 搜索到的相关网站,同时吧gov 和edu IIS server 可写的低级漏洞也整理了以下!
漏洞证明:
http://www.news.muc.edu.cn IIS Put File Allow http://www.news.muc.edu.cn/f2b3be.asp;.jpg
http://lib.gxqzu.edu.cn IIS Put File Allow http://lib.gxqzu.edu.cn/7d686e.asp;.jpg
http://jgbz.shaoxing.gov.cn IIS Put File Allow http://jgbz.shaoxing.gov.cn/5ef72e.asp;.jpg
http://ipe.gzu.edu.cn IIS Put File Allow http://ipe.gzu.edu.cn/833f7e.asp;.jpg
http://www.lingqiu.gov.cn IIS Put File Allow http://www.lingqiu.gov.cn/text.txt
http://www.tlsrd.gov.cn IIS Put File Allow http://www.tlsrd.gov.cn/text.txt
http://gyt.fjtcm.edu.cn IIS Put File Allow http://gyt.fjtcm.edu.cn/text.txt
www.xyxzspfw.gov.cn http://www.xyxzspfw.gov.cn/index_8.do (Microsoft Windows [版本 5.2.3790](C) 版权所有 1985-2003 Microsoft Corp.D:\wllweb\Tomcat 6.0>)
www.ttrc.gov.cn http://www.ttrc.gov.cn/jeecms/ArtiJobSearch.do (Microsoft Windows [?? 5.2.3790](C) ???? 1985-2003 Microsoft Corp.d:\Program Files\Tomcat 5.5>)
www.scofcom.gov.cn http://www.scofcom.gov.cn/wsbs/businessStatistics_toSWTJ.do (Microsoft Windows [?? 6.1.7601]???? (c) 2009 Microsoft Corporation????????)
jsj.daqing.gov.cn http://jsj.daqing.gov.cn/xmlinfolist!project_info_list.do (Microsoft Windows [?? 6.0.6002]???? (C) 2006 Microsoft Corporation????????)
www.zjzfcg.gov.cn http://www.zjzfcg.gov.cn/new/articleList/ygwjhxqList.do (uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
www.hebst.gov.cn http://www.hebst.gov.cn/achievements/achievements!index.do (Microsoft Windows [?? 6.1.7600]???? (c) 2009 Microsoft Corporation????????)
www.fzu.edu.cn http://www.fzu.edu.cn/public/jzbg_list.do (uid=0(#root) gid=0(root)
lilab.ecust.edu.cn http://lilab.ecust.edu.cn/targetbank/tarHome.do (uid=509(scbit) gid=509(scbit) groups=509(scbit)
修复方案:
你懂得。。
版权声明:转载请注明来源 lotte@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:13
确认时间:2013-07-29 19:39
厂商回复:
最新状态:
暂无