当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0146125

漏洞标题:从一个漏洞搞定长城汽车的多个网站

相关厂商:gwm.com.cn

漏洞作者: 路人甲

提交时间:2015-10-12 11:13

修复时间:2015-10-17 11:14

公开时间:2015-10-17 11:14

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-12: 细节已通知厂商并且等待厂商处理中
2015-10-17: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

事情的起因是这样的:大四了,要找工作了,可是水平太渣,一直没找着。找不着还得找呀,然后就。。。。

详细说明:

看到长城汽车来我们这招聘,我的家乡,怎么也得捧个场。看到 ---登录简历投递网址:http://zhaopin.gwm.cn:3680/job/ 就顺便看看了。。
没发现什么太好的点,感觉这个可能服务器上有多个网站就扫了一下

1.png


确实不少,那就一个一个来看看
看了看这个网站

http://zhaopin.gwm.cn:3580/


必须要登陆,那就注册一个吧。

漏洞证明:

竟然能上传图片,不过貌似有限制

3.jpg


我就抱着试一试的态度,上传了一下asp的文件,竟然成功了

4.png


就这么成功了

5.jpg


我还得去找工作,就不搞了

修复方案:

你懂得

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-10-17 11:14

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

暂无