记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

视频影音系列#4.爱奇艺某测试服务器多组源码&mysql信息泄露

2014-06-11 23:35

地址:http://220.181.184.125

问题:全目录遍历,各种程序源代码压缩包(还有开源程序压缩包),各种平台、测试环境集一身

x0.jpg

漏洞证明:

先说怎么证明是“爱奇艺”的服务器呢,这样来

下载这个程序的源码:

地址:http://220.181.184.125/kohana.tomsui.tar.gz

这个文件:

/kohana.tomsui/kohana/application/classes/Controller/Orm.php

然后看这里:

$user->email = 'suixiaodong2@qiyi.com';

$user->username = 'tomsui2';

$user->password = '123456';

有些程序源码里存在mysql账号、密码,呵呵

接着上个源码文件

/kohana.tomsui/kohana/application/config/database.php

'dsn' => 'mysql:host=localhost;dbname=kohana',

'username' => 'root',

'password' => 'r00tdb',

还有这里:

http://220.181.184.125/tv.tar.gz

/tv/123/inc/db.php

/tv/456/inc/db.php

$conn = mysql_connect("localhost:3306","root","133UfadILIl12");

mysql_select_db("tv_forum",$conn);

$conn = mysql_connect("localhost:3306","root","002b11df89");

mysql_select_db("tv_forum",$conn);

.....

还有很多用户密码什么的...

有些源码的运行环境就在这个服务器上,审核源码应该能找到一些问题,太晚了,还是提交吧,懒得看了

还有其他一些其他的环境:

http://220.181.184.125/phpmyadmin

http://220.181.184.125/phpredisadmin

http://220.181.184.125/testdrive/index.php?r=site/login

http://220.181.184.125/w2/wiki/index.php?n=Main.HomePage?action=edit

http://220.181.184.125/yii/demos/blog/index.php/post/index

http://220.181.184.125/cms/test.php

修复方案:

困了,该睡觉了


知识来源: www.wooyun.org/bugs/wooyun-2014-058703

阅读:83180 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“视频影音系列#4.爱奇艺某测试服务器多组源码&mysql信息泄露”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云

本页关键词