记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

韵达某处任意文件上传导致各种数据库侧漏(疑似各种韵达系统数据库)

2015-01-06 00:05

漏洞地址:http://car.yundasys.com:81/yd_khd/khd_add.php

可上传任意文件,路径通过http://car.yundasys.com:81/yd_khd/可以猜到或者通过

http://car.yundasys.com:81/yd_khd/khd_list.php?lb=1&submit=查询

小马地址:http://car.yundasys.com:81/yd_khd/ClientsPath/1.php

数据库信息(有多个数据库连接信息,这里列举可以连接的一个):

define ( 'DSN', "mysql:host=192.168.105.131;port=3306;dbname=qsrgl;" );

define ( 'CHARSET', "UTF8" );

define ( 'USER','qsrgl' );

define ( 'PWD','马赛克' );

-----------------------------------------------------------------------

危害1:可查看内部信息

危害2:被getshell了

危害3:各类数据库泄露

危害4:用户信息密码泄露

漏洞证明:

危害1:可查看内部信息

123.jpg



危害2:被getshell了

360截图20141121173002036.jpg



危害3:各类数据库泄露(这个ydserver疑似多个系统的数据库)

11111.jpg



危害4:用户信息密码泄露

1211.jpg

修复方案:

过滤吧

知识来源: www.wooyun.org/bugs/wooyun-2015-084149

阅读:79141 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“韵达某处任意文件上传导致各种数据库侧漏(疑似各种韵达系统数据库)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云