漏洞概要
关注数(24)
关注此漏洞
漏洞标题:中海油某办公系统多个漏洞已成马场(可渗透内网)
提交时间:2015-04-27 15:44
修复时间:2015-05-02 15:46
公开时间:2015-05-02 15:46
漏洞类型:成功的入侵事件
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2015-04-27: 细节已通知厂商并且等待厂商处理中
2015-05-02: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
我是一条小青龙,我有许多小秘密,就不告诉你。。。
详细说明:
jboss越权:
SQL注入:
userid存在get注入
部分webshell:
http://110.80.10.170:8081/zmeu/cs.jsp
http://110.80.10.170:8081/zecmd/zecmd.jsp
漏洞证明:
管理员权限:
http://110.80.10.170:8081/zecmd/zecmd.jsp?comment=whoami
SQLMAP结果:
内网ip,可进一步渗透:
修复方案:
不深入了,脱裤和内网渗透都是体力活
请立即下线,整改完毕后再上线,其它问题请自查,运维童鞋辛苦了!
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-05-02 15:46
厂商回复:
漏洞Rank:15 (WooYun评价)
最新状态:
暂无