中国铁塔某站getshell泄露千万级数据可定位两百万铁塔经纬

admin

102755
文章

87
评论

2017年4月30日23:09:00评论452 views字数 234阅读0分46秒阅读模式

摘要

2016-05-30：细节已通知厂商并且等待厂商处理中
2016-05-30：厂商已查看当前漏洞内容,细节仅向厂商公开
2016-06-04：厂商已经主动忽略漏洞，细节向公众公开

漏洞概要关注数(4) 关注此漏洞

缺陷编号： WooYun-2016-214548

漏洞标题：中国铁塔某站getshell泄露千万级数据可定位两百万铁塔经纬

漏洞作者：路人甲

提交时间： 2016-05-30 19:52

公开时间： 2016-06-04 23:30

漏洞类型：后台弱口令

危害等级：高

自评Rank： 20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

0人收藏

漏洞详情

披露状态：

简要描述：

来个大厂吧

详细说明：

http://123.126.34.82:7777/

console弱口令

weblogic

weblogic123

getshell

http://123.126.34.82:7777/ca/ma3.jsp

数据库

code 区域

<jdbc-driver-params>
     <url>jdbc:oracle:thin:@192.168.7.19:1521:orcl</url>
     <driver-name>oracle.jdbc.xa.client.OracleXADataSource</driver-name>
     <properties>
       <property>
         <name>user</name>
         <value>res_sata</value>
       </property>
     </properties>
     <password-encrypted>{AES}lO7m6dQIfvcINWWJJCyejny5MZK7TiYK6GK6IllCpXE=</password-encrypted>
   </jdbc-driver-params>

密码res_sata

接近千万级数据库！

百万铁塔信息：包括铁塔ID，详细型号，名称，详细经纬度，可定位

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-06-04 23:30

厂商回复：

漏洞Rank：15 (WooYun评价)

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-06-05 10:12 | 欧尼酱 ( 路人 | Rank:15 漏洞数:7 | 技术马马虎虎)

0

忽略后默默404？

1# 回复此人

漏洞概要 关注数(4) 关注此漏洞

缺陷编号： WooYun-2016-214548

漏洞标题： 中国铁塔某站getshell泄露千万级数据可定位两百万铁塔经纬

相关厂商： chinatowercom.com

漏洞作者： 路人甲