记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

苏宁某服务器存在某漏洞导致可SHELL(在内网)

2015-04-24 04:40

目录遍历

http://m.suning.com.cn:8001/install/

code 区域
[To Parent Directory]

2010/1/12 15:52 626 FileUpload.aspx

2010/1/12 15:52 13048 Install.aspx

2010/1/12 15:52 396 Install.css

2010/1/12 15:52 12708 InstallCompany.aspx

2010/1/12 15:52 4928 InstallSysAdmin.aspx

2010/1/12 15:52 10997 InstallUserSet.aspx





http://m.suning.com.cn:8001/install/InstallSysAdmin.aspx ,可以直接设置系统管理员密码,然后就进后台了



admin.jpg

漏洞证明:

后台找个上传文件的地方,传个cer,就有shell了

shell.jpg





系统里面一堆数据

用户数据.jpg





修复方案:

删除目录遍历的问题吧

知识来源: www.wooyun.org/bugs/wooyun-2015-0109800

阅读:89116 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“苏宁某服务器存在某漏洞导致可SHELL(在内网)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云

本页关键词