盛大在线某分站服务器配置不当导致沦陷数

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-051649

漏洞标题：盛大在线某分站服务器配置不当导致沦陷数

漏洞作者： YY-2012

提交时间：2014-02-21 21:48

修复时间：2014-04-07 21:49

公开时间：2014-04-07 21:49

漏洞类型：系统/服务运维配置不当

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-02-21：细节已通知厂商并且等待厂商处理中
2014-02-22：厂商已经确认，细节仅向厂商公开
2014-03-04：细节向核心白帽子及相关领域专家公开
2014-03-14：细节向普通白帽子公开
2014-03-24：细节向实习白帽子公开
2014-04-07：细节向公众公开

简要描述：

年前发现的这几天才记起，呵呵提交吧。YY

详细说明：

IIS配置不当，直接put上传一句话。3389登录服务器才发现原来是盛大的站。
当时一登录服务器我就把webdav禁止了，算是防止二次入侵吧。

1 描述：榛樿缃戠珯 
主机头：
2 描述：Gplus 
主机头：Gplus.sdptest.sdo.com
3 描述：MerchantcontorlPro-NEW 
主机头：pronew.shengpay.com
4 描述：PaymentWebService 
主机头：
5 描述：test.igw.jf.sdo.com 
主机头：igwjf.sdptest.sdo.com
6 描述：OA_Service 
主机头：
7 描述：Merchantrefundnotify 
主机头：
8 描述：SJMerchantCenter 
主机头：10.132.19.18
9 描述：PayHTML5 
主机头：coupon-api.sdptest.shengpay.com 10.132.19.18
10 描述：merchantservicetestforzhongli 
主机头：
11 描述：sfbapi 
主机头：
12 描述：MerchantAPI 
主机头：
13 描述：merchantdev 
主机头：dev.mc.com
14 描述：MCS.Web 
主机头：
15 描述：SDPayWeb 
主机头：ingamepay.sdptest.sdo.com
16 描述：qpayigw 
主机头：test9qpayigw.sdo.com
17 描述：IGWPay 
主机头：newigw.pay.sdptest.sdo.com 
18 描述：movie 
主机头：
19 描述：MerchantcontorlPro 
主机头：pro.shengpay.com
20 描述：MerchantcontorlAir 
主机头：air.shengpay.com
21 描述：MerchantcontorlAir-RealName 
主机头：realair.shengpay.com
22 描述：MerchantcontorlPro-RealName 
主机头：realpro.shengpay.com
23 描述：Qpayment 
主机头：qpayment.sdptest.sdo.com
24 描述：CardWeb 
主机头：card.sdptest.sdo.com
25 描述：dianquanbao 
主机头：dianquanbao.sdo.com
26 描述：mc.shengpay.com 
主机头：mc.shengpay.com
27 描述：merchantairdev 
主机头：airdev.mc.com
28 描述：test.BigFossick.jf.sdo.com 
主机头：BigFossickjf.sdptest.sdo.com
29 描述：OA_PayInterfaceWeb 
主机头：oa.sdptest.sdo.com
30 描述：test.appigw.jf.sdo.com 
主机头：appigwjf.sdptest.sdo.com
31 描述：qidian 
主机头：10.132.19.18www.sdptest.qidian.com www.sdptest.qidian.com
32 描述：netpay 
主机头：netpay.sdptest.sdo.com netpay1.sdptest.sdo.com
33 描述：easypay.service 
主机头：settle.netpay.sdptest.sdo.com 
34 描述：pay-sft 
主机头：pay1.sdptest.sdo.com
35 描述：supportweb 
主机头：supportwebjf.sdptest.sdo.com
36 描述：TestFilePro 
主机头：10.132.19.18
37 描述：BuyWeb 
主机头：buyweb.sdptest.sdo.com
38 描述：html5test 
主机头：
39 描述：webqidian 
主机头：
40 描述：test.Gameweb.jf.sdo.com 
主机头：Gamewebjf.sdptest.sdo.com
41 描述：WhiteList 
主机头：userlib.direct.sdptest.sdo.com
42 描述：MerchantService 
主机头：10.132.19.18pro.shengpay.com
43 描述：ChannelBCPAdmin 
主机头：qudaoadmin.sdptest.sdo.com
44 描述：IGWWebPayGPlus 
主机头：10.132.19.18newigw.pay.sdptest.sdo.com
45 描述：zhuanye 
主机头：zhuanye.sdptest.shengpay.com
46 描述：CheckBilling 
主机头：
47 描述：test.jf.sdo.com 
主机头：jf.sdptest.sdo.com www.sdptest.minishua.com jftest.sdo.com jftest.shengpay.com
48 描述：ChannelBCPWeb 
主机头：qudao.sdptest.sdo.com
49 描述：Log 
主机头：
50 描述：logs 
主机头：10.132.19.18log.shengpay.com
51 描述：Pay 
主机头：pay.sdptest.sdo.com 
52 描述：qpay 
主机头：qpay.sdptest.sdo.com test9qpay.sdo.com
53 描述：test.ibwguide.jf.sdo.com 
主机头：ibwguidejf.sdptest.sdo.com
54 描述：sft 
主机头：www.sdptest.shengpay.com
55 描述：test.hz.jf.sdo.com 
主机头：hzjf.sdptest.sdo.com

漏洞证明：

修复方案：

你懂的。

版权声明：转载请注明来源 YY-2012@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2014-02-22 11:33

厂商回复：

谢谢报告，正在紧急修复。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-051649

漏洞标题：盛大在线某分站服务器配置不当导致沦陷数

相关厂商：盛大在线

漏洞作者： YY-2012

提交时间：2014-02-21 21:48

修复时间：2014-04-07 21:49

公开时间：2014-04-07 21:49

漏洞类型：系统/服务运维配置不当

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 YY-2012@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-051649

漏洞标题：盛大在线某分站服务器配置不当导致沦陷数

相关厂商：盛大在线

漏洞作者： YY-2012

提交时间：2014-02-21 21:48

修复时间：2014-04-07 21:49

公开时间：2014-04-07 21:49

漏洞类型：系统/服务运维配置不当

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-051649"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 YY-2012@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：