记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

华为某系统未授权访问导致信息泄露可Getshell/root权限/影响内网安全

2016-02-02 09:55

http://183.131.151.13:8080/imeeting_webinar_web/

QQ图片20160127231911.png





http://183.131.151.13:8080/dmp_sys_web/

QQ图片20160127231823.jpg





http://183.131.151.13:8088/ 8088端口存在个jenkins 设置了访问权限 不过可以浏览项目源码,导致tomcat密码泄露

QQ图片20160127231943.png





可以只tomcat部署war Getshell

QQ图片20160127235322.png





还没来的及部署有发现了 root密码 悲剧

QQ图片20160127234606.png



直接入内网

QQ图片20160127232942.png





QQ图片20160127233019.png





各种数据库

QQ图片20160128000115.png





就是不深入内网了

漏洞证明:

http://183.131.151.13:8080/imeeting_webinar_web/

QQ图片20160127231911.png





http://183.131.151.13:8080/dmp_sys_web/

QQ图片20160127231823.jpg





http://183.131.151.13:8088/ 8088端口存在个jenkins 设置了访问权限 不过可以浏览项目源码,导致tomcat密码泄露

QQ图片20160127231943.png





可以只tomcat部署war Getshell

QQ图片20160127235322.png





还没来的及部署有发现了 root密码 悲剧

QQ图片20160127234606.png



直接入内网

QQ图片20160127232942.png





QQ图片20160127233019.png





各种数据库

QQ图片20160128000115.png





就是不深入内网了

修复方案:

设置访问权限

知识来源: www.wooyun.org/bugs/wooyun-2016-0173232

阅读:83590 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“华为某系统未授权访问导致信息泄露可Getshell/root权限/影响内网安全”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云