2015-01-19: 细节已通知厂商并且等待厂商处理中 2015-01-19: 厂商已经确认,细节仅向厂商公开 2015-01-29: 细节向核心白帽子及相关领域专家公开 2015-02-08: 细节向普通白帽子公开 2015-02-18: 细节向实习白帽子公开 2015-03-05: 细节向公众公开
TCL某站发现shell,已爆破,已提权
shell地址http://magazine.tcl.com/info.aspx爆破出密码:Smokepr提权端口反弹,3389连之10.0.0.33;uid=cwmanagerid;pwd=yx37$m28;database=cw 财务系统,还有其他数据库
nas服务器10.0.0.16 弱口令 admin admin还有几个专利管理系统人力资源,品牌基金系统
Press any Key to EXIT ... 用户名: IUSR_TCL-HQWEBAPP登陆域名: TCL-HQWEBAPP密码: 7E!j@[A7PleGte用户名: IUSR_TCL-HQWEBAPP登陆域名: TCL-HQWEBAPP密码: 7E!j@[A7PleGte用户名: ANONYMOUS LOGON登陆域名: NT AUTHORITYSpecific LUID NOT found用户名: Administrator登陆域名: TCL-HQWEBAPP密码: tcl_web@tcl用户名: NETWORK SERVICE登陆域名: NT AUTHORITY密码: 用户名: IUSR_TCL-HQWEBAPP登陆域名: TCL-HQWEBAPP密码: 7E!j@[A7PleGte用户名: IUSR_TCL-HQWEBAPP登陆域名: TCL-HQWEBAPP密码: 7E!j@[A7PleGte用户名: Administrator登陆域名: TCL-HQWEBAPP密码: tcl_web@tcl用户名: LOCAL SERVICE登陆域名: NT AUTHORITYSpecific LUID NOT found用户名: 登陆域名: Specific LUID NOT found用户名: TCL-HQWEBAPP$登陆域名: SERVERSpecific LUID NOT found
<?xml version="1.0"?><configuration> <configSections> <sectionGroup name="system.web.extensions" type="System.Web.Configuration.SystemWebExtensionsSectionGroup, System.Web.Extensions, Version=1.0.61025.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"> <sectionGroup name="scripting" type="System.Web.Configuration.ScriptingSectionGroup, System.Web.Extensions, Version=1.0.61025.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"> <section name="scriptResourceHandler" type="System.Web.Configuration.ScriptingScriptResourceHandlerSection, System.Web.Extensions, Version=1.0.61025.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" requirePermission="false" allowDefinition="MachineToApplication"/> <sectionGroup name="webServices" type="System.Web.Configuration.ScriptingWebServicesSectionGroup, System.Web.Extensions, Version=1.0.61025.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"> <section name="jsonSerialization" type="System.Web.Configuration.ScriptingJsonSerializationSection, System.Web.Extensions, Version=1.0.61025.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" requirePermission="false" allowDefinition="Everywhere"/> <section name="profileService" type="System.Web.Configuration.ScriptingProfileServiceSection, System.Web.Extensions, Version=1.0.61025.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" requirePermission="false" allowDefinition="MachineToApplication"/> <section name="authenticationService" type="System.Web.Configuration.ScriptingAuthenticationServiceSection, System.Web.Extensions, Version=1.0.61025.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" requirePermission="false" allowDefinition="MachineToApplication"/> </sectionGroup> </sectionGroup> </sectionGroup> </configSections> <appSettings> <add key="LanguageType" value="cn"/> <!--用户在邮件里直接更改用户信息时用到--> <add key="EmailEditHttp" value="http://eip.tcl.com/phones/"/> <add key="DBserver" value="10.1.60.73"/> <add key="Dbase" value="TclContacts"/> <add key="DbUserId" value="txl_sa"/> <add key="DbUserPSW" value="twk3q7hc1f3"/> <!-- <add key="DBserver" value="127.0.0.1"/> <add key="Dbase" value="Tcl_Tx"/> <add key="DbUserId" value="sa"/> <add key="DbUserPSW" value="9898918"/>--> <add key="AdminList" value="mql,tangyt,mql_test"/> <!-- <add key="DBserver" value="218.106.129.16"/> <add key="Dbase" value="Tcl_Tx"/> <add key="DbUserId" value="dirxml"/> <add key="DbUserPSW" value="dirxml"/> --> <add key="IntervalMinutes" value="2"/> <!--生成Excle表格的文件名称--> <add key="OutputExcelFile" value="OutputExcelFile"/> <!-- <add key="FileName" value="d:\GMCode\WebUI\index.html"/> <add key="FileName" value="E:\gm\CN_SkyNet_6I\WebUI_2\index.html"/> --> <!--错误信息写入的目录名,格式为:/目录名--> <add key="FolderName" value="~/WebLogFile"></add> <!--生成静态文件类型--> <add key="StaticTypes" value=".html"/> <!--静态模板保存根目录,如更改此设置您必须手动在WEB根目录下建立相应文件夹并将模板文件拷入其中--> <add key="Temp" value="~\Template\"/> <add key="WebsitBelongTo" value="TCL"/> <!--上传文件类型列表--> <add key="UploadFileType" value="rar|jpeg|jpg|gif|bmp|pdf|rm|rmvb|wmv|asf|mpeg|tiff|icon|png|emf|exif|wmf|JPEG|JPG|GIF|BMP|PDF|RM|RMVB|WMV|ASF|MPEG|Tiff|Icon|Png|Emf|Exif|Wmf|xls|doc"/> <add key="SMTPServer" value="mail.tcl.com"/> <!-- <add key="SMTPServer" value="mail.chinasky.net"/> <add key="SMTPServer" value="smtp.163.com"/> --> <add key="SMTPUsername" value="test2@tcl.com"/> <add key="SMTPPassword" value="123456"/> <add key="AttacheDefaultSize" value="1000"/> <add key="AttacheMaxSize" value="5000"/> <!--与NDS同步--> <add key="NDSHost" value="idm.tcl.com"/> <!--10.3.3.55--> <!--218.106.129.15--> <add key="NDSPort" value="389"/> <add key="NDSUser" value="cn=tangyt,ou=企业管理部,ou=TCL集团总部,ou=员工,o=TCL"/> <add key="NDSSearchScope" value="ou=员工,o=TCL"/> <add key="NDSSearchScope1" value="o=TCL"/> <add key="NDSPassword" value=""/> <add key="cipherKey" value="PortalTcL1008711"/> <add key="NDUpdate" value="cn=addressuser,ou=appBindUsers,o=TCL"/> <add key="searchBase" value="ou=员工,o=TCL"/> <add key="NDPwd" value="9898918"/> <add key="PwdUrl" value=""/> <add key="ContactUrl" value=""/> <add key="UserPwd" value="111111"/> </appSettings> <system.web> <pages> <controls> <add tagPrefix="asp" namespace="System.Web.UI" assembly="System.Web.Extensions, Version=1.0.61025.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/> </controls> </pages> <!-- Set compilation debug="true" to insert debugging symbols into the compiled page. Because this affects performance, set this value to true only during development. --> <httpHandlers> <remove verb="*" path="*.asmx"/> <add verb="*" path="*.asmx" validate="false" type="System.Web.Script.Services.ScriptHandlerFactory, System.Web.Extensions, Version=1.0.61025.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/> <add verb="*" path="*_AppService.axd" validate="false" type="System.Web.Script.Services.ScriptHandlerFactory, System.Web.Extensions, Version=1.0.61025.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/> <add verb="GET,HEAD" path="ScriptResource.axd" type="System.Web.Handlers.ScriptResourceHandler, System.Web.Extensions, Version=1.0.61025.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" validate="false"/> <add verb="POST,GET" path="*.ashx" type="AjaxPro.AjaxHandlerFactory,AjaxPro"/> </httpHandlers> <httpModules> <add name="ScriptModule" type="System.Web.Handlers.ScriptModule, System.Web.Extensions, Version=1.0.61025.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/> </httpModules> <!-- 动态调试编译 设置 compilation debug="true" 以启用 ASPX 调试。否则,将此值设置为 false 将提高此应用程序的运行时性能。 设置 compilation debug="true" 以将调试符号(.pdb 信息) 插入到编译页中。因为这将创建执行起来 较慢的大文件,所以应该只在调试时将此值设置为 true,而在所有其他时候都设置为 false。有关更多信息,请参考有关 调试 ASP.NET 文件的文档。 --> <compilation defaultLanguage="c#" debug="true"> <assemblies> <add assembly="System.Web.Extensions, Version=1.0.61025.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/> <add assembly="System.Web.Extensions.Design, Version=1.0.61025.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35"/> <add assembly="System.Design, Version=2.0.0.0, Culture=neutral, PublicKeyToken=B03F5F7F11D50A3A"/> <add assembly="System.Windows.Forms, Version=2.0.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089"/> <add assembly="office, Version=11.0.0.0, Culture=neutral, PublicKeyToken=71E9BCE111E9429C"/> <add assembly="stdole, Version=7.0.3300.0, Culture=neutral, PublicKeyToken=B03F5F7F11D50A3A"/> <add assembly="Microsoft.Vbe.Interop, Version=11.0.0.0, Culture=neutral, PublicKeyToken=71E9BCE111E9429C"/> </assemblies> </compilation> <!-- 自定义错误信息 设置 customErrors mode="On" 或 "RemoteOnly" 以启用自定义错误信息,或设置为 "Off" 以禁用自定义错误信息。 为每个要处理的错误添加 <error> 标记。 "On" 始终显示自定义(友好的)信息。 "Off" 始终显示详细的 ASP.NET 错误信息。 "RemoteOnly" 只对不在本地 Web 服务器上运行的 用户显示自定义(友好的)信息。出于安全目的,建议使用此设置,以便 不向远程客户端显示应用程序的详细信息。 --> <customErrors mode="RemoteOnly"/> <!-- 身份验证 此节设置应用程序的身份验证策略。可能的模式是 "Windows"、 "Forms"、 "Passport" 和 "None" "None" 不执行身份验证。 "Windows" IIS 根据应用程序的设置执行身份验证 (基本、简要或集成 Windows)。在 IIS 中必须禁用匿名访问。 "Forms" 您为用户提供一个输入凭据的自定义窗体(Web 页),然后 在您的应用程序中验证他们的身份。用户凭据标记存储在 Cookie 中。 "Passport" 身份验证是通过 Microsoft 的集中身份验证服务执行的, 它为成员站点提供单独登录和核心配置文件服务。 --> <machineKey validationKey="E28D7E32182823DB1E740193DAC3AACDAB4AEDAEF4692203" decryptionKey="E2E56E1DCC5D239F" validation="SHA1"/> <authentication mode="Forms"> <forms name=".ASPXUSERDEMO" loginUrl="login.aspx" protection="All" timeout="120"/> </authentication> <!-- 授权 此节设置应用程序的授权策略。可以允许或拒绝不同的用户或角色访问 应用程序资源。通配符: "*" 表示任何人,"?" 表示匿名 (未经身份验证的)用户。 --> <authorization> <allow users="?"/> <!-- 允许所有用户 --> <!-- <allow users="[逗号分隔的用户列表]" roles="[逗号分隔的角色列表]"/> <deny users="[逗号分隔的用户列表]" roles="[逗号分隔的角色列表]"/> --> </authorization> <httpRuntime executionTimeout="100000" maxRequestLength="100000" useFullyQualifiedRedirectUrl="true"/> <!-- 应用程序级别跟踪记录 应用程序级别跟踪为应用程序中的每一页启用跟踪日志输出。 设置 trace enabled="true" 可以启用应用程序跟踪记录。如果 pageOutput="true",则 在每一页的底部显示跟踪信息。否则,可以通过浏览 Web 应用程序 根目录中的 "trace.axd" 页来查看 应用程序跟踪日志。 --> <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/> <!-- 会话状态设置 默认情况下,ASP.NET 使用 Cookie 来标识哪些请求属于特定的会话。 如果 Cookie 不可用,则可以通过将会话标识符添加到 URL 来跟踪会话。 若要禁用 Cookie,请设置 sessionState cookieless="true"。 --> <sessionState mode="InProc" stateConnectionString="tcpip=127.0.0.1:42424" sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes" cookieless="false" timeout="120"/> <!-- 全球化 此节设置应用程序的全球化设置。 --> <globalization requestEncoding="GB2312" responseEncoding="GB2312" culture="zh-CN" fileEncoding="GB2312"/> <!--<pages validateRequest="false"/>--> </system.web> <!--AJAX 配置节--> <system.web.extensions> <scripting> <webServices> <!-- Uncomment this line to customize maxJsonLength and add a custom converter --> <!-- <jsonSerialization maxJsonLength="500"> <converters> <add name="ConvertMe" type="Acme.SubAcme.ConvertMeTypeConverter"/> </converters> </jsonSerialization> --> <!-- Uncomment this line to enable the authentication service. Include requireSSL="true" if appropriate. --> <!-- <authenticationService enabled="true" requireSSL = "true|false"/> --> <!-- Uncomment these lines to enable the profile service. To allow profile properties to be retrieved and modified in ASP.NET AJAX applications, you need to add each property name to the readAccessProperties and writeAccessProperties attributes. --> <!-- <profileService enabled="true" readAccessProperties="propertyname1,propertyname2" writeAccessProperties="propertyname1,propertyname2" /> --> </webServices> <!-- <scriptResourceHandler enableCompression="true" enableCaching="true" /> --> </scripting> </system.web.extensions> <system.webServer> <validation validateIntegratedModeConfiguration="false"/> <modules> <add name="ScriptModule" preCondition="integratedMode" type="System.Web.Handlers.ScriptModule, System.Web.Extensions, Version=1.0.61025.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/> </modules> <handlers> <remove name="WebServiceHandlerFactory-Integrated"/> <add name="ScriptHandlerFactory" verb="*" path="*.asmx" preCondition="integratedMode" type="System.Web.Script.Services.ScriptHandlerFactory, System.Web.Extensions, Version=1.0.61025.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/> <add name="ScriptHandlerFactoryAppServices" verb="*" path="*_AppService.axd" preCondition="integratedMode" type="System.Web.Script.Services.ScriptHandlerFactory, System.Web.Extensions, Version=1.0.61025.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/> <add name="ScriptResource" preCondition="integratedMode" verb="GET,HEAD" path="ScriptResource.axd" type="System.Web.Handlers.ScriptResourceHandler, System.Web.Extensions, Version=1.0.61025.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/> </handlers> </system.webServer></configuration>
<?xml version="1.0" encoding="utf-8" ?><configuration> <system.web> <!-- 动态调试编译 设置 compilation debug="true" 以启用 ASPX 调试。否则,将此值设置为 false 将提高此应用程序的运行时性能。 设置 compilation debug="true" 以将调试符号(.pdb 信息) 插入到编译页中。因为这将创建执行起来 较慢的大文件,所以应该只在调试时将此值设置为 true,而在所有其他时候都设置为 false。有关更多信息,请参考有关 调试 ASP.NET 文件的文档。 --> <compilation defaultLanguage="c#" debug="true" /> <!-- 自定义错误信息 设置 customErrors mode="On" 或 "RemoteOnly" 以启用自定义错误信息,或设置为 "Off" 以禁用自定义错误信息。 为每个要处理的错误添加 <error> 标记。 "On" 始终显示自定义(友好的)信息。 "Off" 始终显示详细的 ASP.NET 错误信息。 "RemoteOnly" 只对不在本地 Web 服务器上运行的 用户显示自定义(友好的)信息。出于安全目的,建议使用此设置,以便 不向远程客户端显示应用程序的详细信息。 --> <customErrors mode="RemoteOnly" /> <!-- 身份验证 此节设置应用程序的身份验证策略。可能的模式是 "Windows"、 "Forms"、 "Passport" 和 "None" "None" 不执行身份验证。 "Windows" IIS 根据应用程序的设置执行身份验证 (基本、简要或集成 Windows)。在 IIS 中必须禁用匿名访问。 "Forms" 您为用户提供一个输入凭据的自定义窗体(Web 页),然后 在您的应用程序中验证他们的身份。用户凭据标记存储在 Cookie 中。 "Passport" 身份验证是通过 Microsoft 的集中身份验证服务执行的, 它为成员站点提供单独登录和核心配置文件服务。 --> <authentication mode="Windows" /> <!-- 授权 此节设置应用程序的授权策略。可以允许或拒绝不同的用户或角色访问 应用程序资源。通配符: "*" 表示任何人,"?" 表示匿名 (未经身份验证的)用户。 --> <authorization> <allow users="*" /> <!-- 允许所有用户 --> <!-- <allow users="[逗号分隔的用户列表]" roles="[逗号分隔的角色列表]"/> <deny users="[逗号分隔的用户列表]" roles="[逗号分隔的角色列表]"/> --> </authorization> <!-- 应用程序级别跟踪记录 应用程序级别跟踪为应用程序中的每一页启用跟踪日志输出。 设置 trace enabled="true" 可以启用应用程序跟踪记录。如果 pageOutput="true",则 在每一页的底部显示跟踪信息。否则,可以通过浏览 Web 应用程序 根目录中的 "trace.axd" 页来查看 应用程序跟踪日志。 --> <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true" /> <!-- 会话状态设置 默认情况下,ASP.NET 使用 Cookie 来标识哪些请求属于特定的会话。 如果 Cookie 不可用,则可以通过将会话标识符添加到 URL 来跟踪会话。 若要禁用 Cookie,请设置 sessionState cookieless="true"。 --> <sessionState mode="InProc" stateConnectionString="tcpip=127.0.0.1:42424" sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes" cookieless="false" timeout="20" /> <!-- 全球化 此节设置应用程序的全球化设置。 --> <globalization requestEncoding="utf-8" responseEncoding="utf-8" /> </system.web> <appSettings> <add key="dns" value="server=10.0.0.33;uid=sa_tclquestion;pwd=tcl100910qaz36nm82xcv;database=tclquestion"/> <!--授权数据库 --> <add key="accredit" value="server=10.0.0.33;uid=sa_tclquestion;pwd=tcl100910qaz36nm82xcv;database=tclquestion" /> <!--发送电子设置 --> <add key="smtpserver" value="192.168.166.100" /> <add key="smtpuserid" value="eip" /> <add key="smtppassword" value="tcl20060430"/> <add key="smtpamount" value="50"></add> <!--每次最大发送的邮件数--> <add key="smtpSubject" value="集团门户(http://info.tcl.com/)密码初始化通知"/> <!--与NDS同步--> <add key="NDSHost" value="10.3.3.54"/> <add key="NDSPort" value="389"/> <add key="NDSUser" value="cn=addressuser,ou=appBindUsers,o=TCL"/> <add key="NDSPassword" value="9898918"/> <add key="NDSSearchScope" value="ou=员工,o=TCL"/> <add key="NDSSearchScope1" value="o=TCL"/> <!--初始化邮件的种类--> <add key="initMailCategory" value="@tcl.com,@tcl.cn,@tcl.org,@tcl-delonghi.com,@toshiba-tvc.com"/> </appSettings> <location path="Novell/ModifyNDSPwd.aspx"> <system.web> <authorization> <allow users="?" /> </authorization> </system.web> </location> </configuration>
<?xml version="1.0" encoding="utf-8" ?><configuration> <system.web><!--<pages validateRequest="false"/>--> <!-- 动态调试编译 设置 compilation debug="true" 以启用 ASPX 调试。否则,将此值设置为 false 将提高此应用程序的运行时性能。 设置 compilation debug="true" 以将调试符号(.pdb 信息) 插入到编译页中。因为这将创建执行起来 较慢的大文件,所以应该只在调试时将该值设置为 true,而在所有其他时候都设置为 false。有关更多信息,请参考有关 调试 ASP.NET 文件的文档。 --> <compilation defaultLanguage="c#" debug="true" /> <!-- 自定义错误信息 设置 customError 模式值可以控制应向 用户显示用户友好错误信息而不是错误详细信息(包括堆栈跟踪信息): “On”始终显示自定义(友好的)信息 “Off”始终显示详细的 ASP.NET 错误信息。 “RemoteOnly”只对不在本地 Web 服务器上运行的 用户显示自定义(友好的)信息。出于安全目的,建议使用此设置,以便 不向远程客户端显示应用程序的详细信息。 --> <customErrors mode="RemoteOnly" /> <!-- 身份验证 此节设置应用程序的身份验证策略。可能的模式是“Windows”、“Forms”、 “Passport”和“None” --> <authentication mode="Forms"> <forms name=".ASPXUSERDEMO" loginUrl="login.aspx" protection="All" timeout="60" /> </authentication> <!-- authorization> <deny users="?" /> </authorization--> <!-- 应用程序级别跟踪记录 应用程序级别跟踪在应用程序内为每一页启用跟踪日志输出。 设置 trace enabled="true" 以启用应用程序跟踪记录。如果 pageOutput="true",则 跟踪信息将显示在每一页的底部。否则,可以通过从 Web 应用程序 根浏览 "trace.axd" 页来查看 应用程序跟踪日志。 --> <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true" /> <!-- 会话状态设置 默认情况下,ASP.NET 使用 cookie 标识哪些请求属于特定的会话。 如果 cookie 不可用,则可以通过将会话标识符添加到 URL 来跟踪会话。 若要禁用 cookie,请设置 sessionState cookieless="true"。 --> <sessionState mode="InProc" stateConnectionString="tcpip=127.0.0.1:42424" sqlConnectionString="data source=127.0.0.1;user id=sa;password=" cookieless="false" timeout="20" /> <!-- 全球化 此节设置应用程序的全球化设置。 --> <globalization requestEncoding="gb2312" responseEncoding="gb2312" /> <pages validateRequest="false"/> </system.web><appSettings> <add key="dns" value="server=10.0.0.33;uid=sa;pwd=t8#30ykp;database=jssystem"/> <!--授权数据库 --> <add key="accredit" value="server=10.0.0.33;uid=sa;pwd=t8#30ykp;database=jssystem" /> <!--发送电子设置 --> <add key="smtpserver" value="mail.tcl.com" /> <add key="smtpuserid" value="tangyt" /> <add key="smtppassword" value="tangyitian"/> <add key="smtpamount" value="50"></add> <!--每次最大发送的邮件数--> <add key="smtpSubject" value="集团信息门户(http://info.tcl.com/)密码初始化通知"/> <!--短信设置--> <add key="smsuserid" value="tclgroup" /> <add key="smspassword" value="701860" /> <!--公司名称--> <add key="company" value="TCL"/> <!--与NDS同步--> <add key="NDSHost" value="10.3.3.55"/> <add key="NDSPort" value="389"/> <add key="NDSUser" value="cn=tangyt,ou=企业管理部,ou=TCL集团总部,ou=员工,o=TCL"/> <add key="NDSSearchScope" value="ou=员工,o=TCL"/> <add key="NDSSearchScope1" value="o=TCL"/> <add key="NDSPassword" value="thc1212"/> <add key="cipherKey" value="PortalTcL1008711"/> </appSettings> <location path="register.aspx"> <system.web> <authorization> <allow users="?" /> </authorization> </system.web> </location> <location path="setpass.aspx"> <system.web> <authorization> <allow users="?" /> </authorization> </system.web> </location> <location path="seelog.aspx"> <system.web> <authorization> <allow users="?" /> </authorization> </system.web> </location> <location path="getpass.aspx"> <system.web> <authorization> <allow users="?" /> </authorization> </system.web> </location> <location path="Novell/ModifyNDSPwd.aspx"> <system.web> <authorization> <allow users="?" /> </authorization> </system.web> </location> <!--如果不登录,则无法判段权限 <location path="phones"> <system.web> <authorization> <allow users="?" /> </authorization> </system.web> </location> --></configuration>
<?xml version="1.0" encoding="utf-8" ?><configuration> <system.web> <!-- 动态调试编译 设置 compilation debug="true" 以启用 ASPX 调试。否则,将此值设置为 false 将提高此应用程序的运行时性能。 设置 compilation debug="true" 以将调试符号(.pdb 信息) 插入到编译页中。因为这将创建执行起来 较慢的大文件,所以应该只在调试时将该值设置为 true,而在所有其他时候都设置为 false。有关更多信息,请参考有关 调试 ASP.NET 文件的文档。 --> <compilation defaultLanguage="c#" debug="true" /> <!-- 自定义错误信息 设置 customError 模式值可以控制应向 用户显示用户友好错误信息而不是错误详细信息(包括堆栈跟踪信息): “On”始终显示自定义(友好的)信息 “Off”始终显示详细的 ASP.NET 错误信息。 “RemoteOnly”只对不在本地 Web 服务器上运行的 用户显示自定义(友好的)信息。出于安全目的,建议使用此设置,以便 不向远程客户端显示应用程序的详细信息。 --> <customErrors mode="RemoteOnly" /> <!-- 身份验证 此节设置应用程序的身份验证策略。可能的模式是“Windows”、“Forms”、 “Passport”和“None” --> <authentication mode="Forms"> <forms name=".ASPXUSERDEMO1" loginUrl="login.aspx" protection="All" timeout="60" /> </authentication> <authorization> <deny users="?" /> </authorization> <!-- 应用程序级别跟踪记录 应用程序级别跟踪在应用程序内为每一页启用跟踪日志输出。 设置 trace enabled="true" 以启用应用程序跟踪记录。如果 pageOutput="true",则 跟踪信息将显示在每一页的底部。否则,可以通过从 Web 应用程序 根浏览 "trace.axd" 页来查看 应用程序跟踪日志。 --> <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true" /> <!-- 会话状态设置 默认情况下,ASP.NET 使用 cookie 标识哪些请求属于特定的会话。 如果 cookie 不可用,则可以通过将会话标识符添加到 URL 来跟踪会话。 若要禁用 cookie,请设置 sessionState cookieless="true"。 --> <sessionState mode="InProc" stateConnectionString="tcpip=127.0.0.1:42424" sqlConnectionString="data source=127.0.0.1;user id=sa;password=" cookieless="false" timeout="20" /> <!-- 全球化 此节设置应用程序的全球化设置。 --> <globalization requestEncoding="gb2312" responseEncoding="gb2312" /> </system.web><appSettings> <!-- 用友财务数据库 数据库在程序中动态指定 --> <add key="dns" value="server=10.0.0.77;uid=sa;pwd=tclcwb;database=ufdata_005_2002"/> <!--授权数据库 --> <add key="accredit" value="server=10.0.0.33;uid=cwmanagerid;pwd=yx37$m28;database=cw" /> <!--本地财务系统库--> <add key="cw" value="server=10.0.0.33;uid=cwmanagerid;pwd=yx37$m28;database=cw" /> <!-- 招待费用科目编号 --> <add key="receivechargeid" value="550212"></add> <!-- 管理费用科目编号 --> <add key="managemoneyid" value="5502"></add> <add key="acc_name" value="TCL集团"></add> <!-- 2003财务库--> <add key="dns2003" value="server=10.0.0.77;uid=sa;pwd=tclcwb;database=ufdata_009_2003"/> <add key="receivechargeid2003" value="550207"></add> <add key="managemoneyid2003" value="5502"></add> <!-- 2004财务库--> <add key="dns2004" value="server=10.0.0.77;uid=sa;pwd=tclcwb;database=ufdata_010_2004"/> <add key="receivechargeid2004" value="550207"></add> <add key="managemoneyid2004" value="5502"></add> <add key="dns2005" value="server=10.0.0.77;uid=sa;pwd=tclcwb;database=ufdata_010_2005"/> <add key="receivechargeid2005" value="550207"></add> <add key="managemoneyid2005" value="5502"></add> <add key="dns2006" value="server=10.0.0.77;uid=sa;pwd=tclcwb;database=ufdata_011_2006"/> <add key="receivechargeid2006" value="550207"></add> <add key="managemoneyid2006" value="5502"></add> <add key="dns2007" value="server=10.0.0.77;uid=sa;pwd=tclcwb;database=ufdata_021_2007"/> <add key="receivechargeid2007" value="660207"></add> <add key="managemoneyid2007" value="6602"></add> <add key="dns2008" value="server=10.0.0.63;uid=test;pwd=ufys135;database=ufdata_023_2008"/> <add key="receivechargeid2008" value="660207"></add> <add key="managemoneyid2008" value="6602"></add> <add key="cipherKey" value="PortalTcL1008711"/> <!--与NDS同步--> <add key="NDSHost" value="10.3.3.55"/> <add key="NDSPort" value="389"/> <add key="NDSUser" value="cn=tangyt,ou=企业管理部,ou=TCL集团总部,ou=员工,o=TCL"/> <add key="NDSSearchScope" value="ou=TCL集团总部,ou=员工,o=TCL"/> <add key="NDSSearchScope1" value="ou=TCL集团总部,ou=员工,o=TCL"/> <add key="NDSPassword" value="thc1212"/> <add key="cipherKey" value="PortalTcL1008711"/></appSettings></configuration>
做好安全防范
危害等级:高
漏洞Rank:20
确认时间:2015-01-19 15:51
感谢你的关注,已转交相关单位处理。
暂无