记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

某大型银行子站频道存在远程控制风险或数据泄漏

2014-09-16 13:50

浦发银行



站点:http://fund.ebank.spdb.com.cn/ 基金频道



WebDAV 开启了 配置不当 ok 运营是硬伤



直接利用解析x.asp;.jpg

上图: 不多说了 数据库很多、内网、有好几台服务器滴



图片1.jpg





解析,拿下

图片2.jpg



图片3.jpg



图片4.jpg



图片5.jpg



图片6.jpg





看看用户

图片7.jpg





数据库 很多的

图片8.jpg





看一下~ 内网呀

图片9.jpg





网段服务器有不少嘛

图片10.jpg





可以直接上个远控马,秒下服务器,内网渗透(360是不可靠的流氓~) 鉴于安全考虑,点到即止~

漏洞证明:

如上~

修复方案:

WebDAV配置下吧

知识来源: www.wooyun.org/bugs/wooyun-2014-070689

阅读:56425 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“某大型银行子站频道存在远程控制风险或数据泄漏”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云