记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

某旅游网文件遍历信息泄露

2014-08-17 00:45

听说:"听说你们很给力", 然后扫了下ip段,

一台jj web访问直接显示一个xx系统, 不需要密码,

捉摸了好久终于找到能遍历文件, 查看文本类文件, 所以各种log/脚本/代码都能看了,

无奈那个界面太恶心, 每次都要一层一层地找文件, 想想也没深仇大恨, 结束吧.

漏洞证明:

所说系统如图所示:



tuniu_01.jpg





tuniu_02.jpg





tuniu_03.jpg





tuniu_04.jpg





shadow文件可读, 10多个用户, 但是密码强度很高的样子, 没心情破, 有心情也可能要几千年.

再根据各个用户查找.bash_history可以看到一些数据库密码,

但是好像被乌云的人爆多了所以墙设置的很好了.



修复方案:

听说你们很给力, 给个几十万两银子回家买几头小猪养养.

知识来源: www.wooyun.org/bugs/wooyun-2014-067062

阅读:66633 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“某旅游网文件遍历信息泄露”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云