漏洞概要
关注数(24)
关注此漏洞
漏洞标题:P2P金融安全之卡得万利某处命令执行影响多台重要服务器(自带nmap威胁内网安全)
漏洞作者: 镱鍚
提交时间:2016-03-20 23:31
修复时间:2016-05-04 23:31
公开时间:2016-05-04 23:31
漏洞类型:服务弱口令
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2016-03-20: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-04: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
RT
涉及微信服务器、邮件服务器、监控服务器、多台路由设备等,自带nmap,可直接探测内网
详细说明:
zabbix弱口令:admin zabbix
可直接登陆
看下它上面涉及的服务器,都挺重要的
从脚本中可以看到,服务器上安装了nmap的,可以直接探测内网,我这里加了个脚本,看了下ip信息
这里用nmap它自带的nmap脚本探测了一下各个服务器的端口,如下:
从中还是得到不少信息
jenkins项目平台
邮件系统
直接探测c段,得到的结果如下:
可以看到,还是有很多东西的。就不深入了,危害太大了
漏洞证明:
zabbix弱口令:admin zabbix
可直接登陆
看下它上面涉及的服务器,都挺重要的
从脚本中可以看到,服务器上安装了nmap的,可以直接探测内网,我这里加了个脚本,看了下ip信息
这里用nmap它自带的nmap脚本探测了一下各个服务器的端口,如下:
从中还是得到不少信息
jenkins项目平台
邮件系统
直接探测c段,得到的结果如下:
可以看到,还是有很多东西的。就不深入了,危害太大了
修复方案:
版权声明:转载请注明来源 镱鍚@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:15 (WooYun评价)