记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

某评估师协会官网后台任意上传影响服务器安全(危及行业及执业人员执业信息)

2014-07-04 16:25

从这里直接无需登录在后台利用解析漏洞传一句话图片马http://www.camra2006.org.cn/admin/News/InfoEdit.aspx?iProject=5&iInfoID=396

1.jpg



2.jpg



进入数据库,众多执业评估师个人信息及评估事项详细信息

3.jpg



5.jpg



6.jpg



8.jpg





服务器上还有许多内部文件和数据库、网站源码的备份,另外还有一套考试系统,矿业权评估师执业资格是两年才考一次,而且报考门槛不低,含金量应该不差。

另外发现了一个13年4月6号上传到服务器上的疑似木马,也请注意做一下全面的清理。

漏洞证明:

如上

修复方案:

全面检查


知识来源: www.wooyun.org/bugs/wooyun-2014-061532

阅读:77098 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“某评估师协会官网后台任意上传影响服务器安全(危及行业及执业人员执业信息)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云