漏洞概要 关注数(6) 关注此漏洞
缺陷编号: WooYun-2016-207061
漏洞标题: 安得物流某业务系统存在命令执行漏洞大量用户地址/姓名/手机号泄漏
相关厂商: 安得物流公司
漏洞作者: 我的邻居王婆婆
提交时间: 2016-05-10 17:19
公开时间: 2016-06-24 18:00
漏洞类型: 命令执行
危害等级: 高
自评Rank: 20
漏洞状态: 厂商已经确认
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
Tags标签: 无
漏洞详情
披露状态:
2016-05-10: 细节已通知厂商并且等待厂商处理中
2016-05-10: 厂商已经确认,细节仅向厂商公开
2016-05-20: 细节向核心白帽子及相关领域专家公开
2016-05-30: 细节向普通白帽子公开
2016-06-09: 细节向实习白帽子公开
2016-06-24: 细节向公众公开
简要描述:
命令执行,可造成大量用户地址/姓名/手机号泄漏
详细说明:
听说实名有20rank,我就来看看
app下载地址:
http://www.annto.com/DownView.Asp?ID=3
安装后
登录抓包得到一个地址
http://202.104.30.115:22222/msd_ad/phone/login.action
漏洞证明:
域里还有台
//KGZYXGQZJ 美的控股资金系统中银香港前置机
最后传了个马
http://202.104.30.115:22222/is/index.jspx
密码023
服务器内存大量美的用户寄件地址、姓名、手机号
每天都在送,业务很大,很幸苦
具体路径
从14年8月开始至今
来个签收图片
数据库备份已为您准备妥当
xml格式的用户信息在
D:/wlpt/adorder/e3barscanbak目录下
D:/wlpt/adorder/e3barscanbak/20160428/AD16042804726787_139346116.xml
打个包,分分钟数据到手
修复方案:
删除shell,st2补丁
版权声明:转载请注明来源 我的邻居王婆婆@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2016-05-10 17:56
厂商回复:
那谁,王婆婆隔壁的老王,感谢提醒 我们安排修复!
最新状态:
暂无
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
评论