记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

弱口令害人不浅涉及河北财政厅/四川住房公积金/淮安公有房屋管理系统写Shell漏洞

2015-09-08 09:35

发现好多政府都喜欢用weblogic,但是都是没改密码weblogic/weblogic,就不一一写了

四川广安市住房公积金查询系统

http://223.85.25.43:7001/gawscx/index.jsp

http://223.85.25.43:7001/console

别人的shell,http://223.85.25.43:7001/ad

还有他人建立的账户

p.jpg



直接是外网IP,可以远程连上

des.jpg



-------------------------------

淮安公有房屋管理

http://218.2.31.75:7001/console

上传的时候提示拒绝访问,看来是管理设置了目录权限,这也是没有成为跑马场的原因

20150719164051.jpg



用burp修改一下上传路径到其他可写目录

myserver.jpg



按5shift出来了cmd

5s.jpg



放在桌面的东西

iis.jpg



-----------

河北财政厅企业信息填报系统

http://110.249.165.54:7001/netrep/index.jsp

马场

20150720222225.jpg



用lcx映射不出来,但是居然可以直接连IP上去

内网的其他系统

kjfw.jpg



neterp

netrep.jpg

漏洞证明:

修复方案:

很明显了

知识来源: www.wooyun.org/bugs/wooyun-2015-0127995

阅读:93775 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“弱口令害人不浅涉及河北财政厅/四川住房公积金/淮安公有房屋管理系统写Shell漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云