每周一插 | 火力发电能耗监测弱口令(Getshell之后成功登陆/可查看敏感文件/可内网)

admin 2022年5月1日22:23:12安全文章评论5 views584字阅读1分56秒阅读模式
↑ 点击上方“七安全”关注我们



每周一插 | 火力发电能耗监测弱口令(Getshell之后成功登陆/可查看敏感文件/可内网)

摘要:本次给大家分享的是四叶草安全漏洞插件社区成员“考不上复旦这辈子不改q名童鞋提交的“工控安全之火力发电能耗监测弱口令(Getshell之后成功登陆-可查看敏感文件-可内网)

01

工控?



工控指的是工业自动化控制,主要利用电子电气、机械、软件组合实现。即是工业控制(Factory control),或者是工厂自动化控制(Factory Automation control)。主要是指使用计算机技术,微电子技术,电气手段,使工厂的生产和制造过程更加自动化、效率化、精确化,并具有可控性及可视性。(文来自百度百科)



02

漏洞证明

每周一插 | 火力发电能耗监测弱口令(Getshell之后成功登陆/可查看敏感文件/可内网)找到一台存在弱口令的系统,我们登陆进去看看

每周一插 | 火力发电能耗监测弱口令(Getshell之后成功登陆/可查看敏感文件/可内网)
登陆到管理员后台,从功能上来说只有用户管理权限,用普通用户登陆看下

每周一插 | 火力发电能耗监测弱口令(Getshell之后成功登陆/可查看敏感文件/可内网)
每周一插 | 火力发电能耗监测弱口令(Getshell之后成功登陆/可查看敏感文件/可内网)

struts2框架,尝试了之前struts2爆出来的漏洞

每周一插 | 火力发电能耗监测弱口令(Getshell之后成功登陆/可查看敏感文件/可内网)



每周一插 | 火力发电能耗监测弱口令(Getshell之后成功登陆/可查看敏感文件/可内网)
root权限,还是直接上shell吧

每周一插 | 火力发电能耗监测弱口令(Getshell之后成功登陆/可查看敏感文件/可内网)
有前人的足迹,6666666666666666666

每周一插 | 火力发电能耗监测弱口令(Getshell之后成功登陆/可查看敏感文件/可内网)

内网貌似挺大,只说明危害,不进一步测试,定期关注企业设备是否需要更新,升级struts2,还有杜绝弱口令哦。

03

检测插件

每周一插 | 火力发电能耗监测弱口令(Getshell之后成功登陆/可查看敏感文件/可内网)
转载自四叶草安全BugScan社区



每周一插 | 火力发电能耗监测弱口令(Getshell之后成功登陆/可查看敏感文件/可内网)


资讯/漏洞/插件/心得 
关注“七安全”
微信ID:qi_anquan

每周一插 | 火力发电能耗监测弱口令(Getshell之后成功登陆/可查看敏感文件/可内网)

长按二维码关注七安全


原文始发于微信公众号(雁行安全团队):每周一插 | 火力发电能耗监测弱口令(Getshell之后成功登陆/可查看敏感文件/可内网)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月1日22:23:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  每周一插 | 火力发电能耗监测弱口令(Getshell之后成功登陆/可查看敏感文件/可内网) http://cn-sec.com/archives/815178.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: