漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-060473
漏洞标题:珍爱网两处运维不当导致攻击者可进内网拿数据库
相关厂商:珍爱网
漏洞作者: 霍大然
提交时间:2014-05-12 23:27
修复时间:2014-06-26 23:28
公开时间:2014-06-26 23:28
漏洞类型:系统/服务运维配置不当
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-05-12: 细节已通知厂商并且等待厂商处理中
2014-05-12: 厂商已经确认,细节仅向厂商公开
2014-05-22: 细节向核心白帽子及相关领域专家公开
2014-06-01: 细节向普通白帽子公开
2014-06-11: 细节向实习白帽子公开
2014-06-26: 细节向公众公开
简要描述:
珍爱网两处运维,第一处可进内网,另一处可得到三个库的密码不过我连都没连,只证明下。
珍爱网广告做的真好,楼下整天播。
详细说明:
进内网,比较简单,一处struts:
http://sylar.co/
ifconfig
em1 Link encap:Ethernet HWaddr B8:CA:3A:EB:C0:5A
inet addr:211.100.37.152 Bcast:211.100.37.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:290695541 errors:0 dropped:22171512 overruns:0 frame:9
TX packets:130743076 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:20917745808 (19948.7 Mb) TX bytes:180345233411 (171990.6 Mb)
Interrupt:35
em2 Link encap:Ethernet HWaddr B8:CA:3A:EB:C0:5B
inet addr:10.10.10.152 Bcast:10.10.10.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:63907029 errors:0 dropped:8160086 overruns:0 frame:0
TX packets:20099129 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:8982845733 (8566.7 Mb) TX bytes:2739970710 (2613.0 Mb)
Interrupt:38
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:40875084 errors:0 dropped:0 overruns:0 frame:0
TX packets:40875084 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:217247953835 (207183.7 Mb) TX bytes:217247953835 (207183.7 Mb)
第二处:内网数据库用户名与密码
先是:
http://welove.zhenai.com//WEB-INF/web.xml
http://welove.zhenai.com/WEB-INF/spring.xml
http://welove.zhenai.com/WEB-INF/jdbc.properties
漏洞证明:
不再动了,再动要下数据库了
修复方案:
你那个JAVA怎么配置的,奇怪
版权声明:转载请注明来源 霍大然@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2014-05-12 23:54
厂商回复:
网站的漏洞已经修复,安全无小事,谢谢.
最新状态:
暂无