当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-046888

漏洞标题:千万购官网数据库文件任意下载致整站沦陷

相关厂商:千万购

漏洞作者: nauscript

提交时间:2013-12-24 18:16

修复时间:2014-02-07 18:17

公开时间:2014-02-07 18:17

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:12

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-12-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-02-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

千万购官网数据库备份文件任意下载致整站沦陷

详细说明:

数据库文件:http://www.qianwango.com/data.rar

2.jpg


还有一处:http://www.qianwango.com/kdjj_hdak_wiuhsdbd_sou.mdb
然后传aspx的马,但是马上加速乐会拦截。。。郁闷了,不过还好是进马之后使用功能的时候拦截的,之前略看了一下目录先,发现已经有被传马,几个马儿一样被加速乐拦截。。。
唯独http://www.qianwango.com/iis.aspx比较坚挺,尝试了admin的原始口令就pass了
又被人提权过的痕迹,还开了3389,剩下的事情就是按部就班了。。。。我是说来乌云提交!

1.jpg


3.jpg


4.jpg


大致看了下网站的商品信息等维护更新快,但是对于安全这块却不怎么及时,不知道这个洞会不会来确认。。。。

漏洞证明:

如上

修复方案:

删除后门、防止数据库

版权声明:转载请注明来源 nauscript@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝