当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-077452

漏洞标题:江西财经大学电视台Struts漏洞Getshell

相关厂商:CCERT教育网应急响应组

漏洞作者: wooOver

提交时间:2014-09-26 18:01

修复时间:2014-10-01 18:02

公开时间:2014-10-01 18:02

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-26: 细节已通知厂商并且等待厂商处理中
2014-10-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

江西财经大学电视台存在struts漏洞可以getshell,该网站栏目较多,从日志来看,访问量挺大,一旦被不法分子控制,可能会播放违法内容。
Ps.第一次发没有附网址,审核人让附上网址,详细说明开头已经补充了网址

详细说明:


0.首页
http://jcys.jxufe.cn:88/VJJxvw/liveAction.action

直播.jpg


1.struts漏洞

detect.jpg


2.菜刀连接

shell.jpg


3.我已经把目录下的几个shell删了,在删shell的时候发现了“d:/数据备份”下的数据库备份文件
获得用户名密码 admin:jcys2014
后台

admin.jpg


PS.本次测试没有造成任何破坏,shell已经删除

漏洞证明:

1.struts漏洞

detect.jpg


2.菜刀连接

shell.jpg


3.我已经把目录下的几个shell删了,在删shell的时候发现了“d:/数据备份”下的数据库备份文件
获得用户名密码 admin:jcys2014
后台

admin.jpg

修复方案:

升级struts

版权声明:转载请注明来源 wooOver@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-10-01 18:02

厂商回复:

最新状态:

暂无