佰潮网配置不当导致重要信息泄漏可上传Shell（涉及各大高校大学生信息）

凌晨的时候，苹果总部发布了肾6，太好了，终于可以买降价的肾5s了（你是有多苦逼）

前阵子发现有个大学生分期付款平台，好象宣传的很牛逼的样子，我等屌丝还要分期付款吗？

明明想在url后面输iphone.php的结果手贱打成了info.php(厂商不要怪我)

结合phpinfo信息，试了下ftp，结果尿了2G的源码

好吧，那接下来就是源码泄漏的问题了

找到数据库密码，一不小心进去了

phpmyadmin的root权限都进去了，你说拿shell和提权还远吗？

好吧，就到这里吧。

web安全的问题还是要注重的，大学生分期付款这里面涉及的信息要是被地下黑产拿去的话。。。。。

数据库可以该价格耶，我看到肾5s了耶

纯属友情检测，不要查我水表，有礼物吗么么哒？

厂商回应：

未能联系到厂商或者厂商积极拒绝

1. 2014-09-11 02:19 | 宝宝 ( 普通白帽子 | Rank:127 漏洞数:34 | 我是好宝宝)

   2

   唐马儒是不是还珠格格里的箫剑？

   1# 回复此人

2. 2014-10-26 00:49 | 暧昧 ( 路人 | Rank:6 漏洞数:3 | 此号乃是吾用来装孙子也)

   0

   结合phpinfo信息，试了下ftp， 这个能具体点么

   2# 回复此人

3. 2014-10-26 01:29 | XOXO ( 路人 | Rank:4 漏洞数:4 | 终于有邀请码了！)

   0

   @暧昧 砰砰砰 快递到了

   3# 回复此人

4. 2014-10-26 05:28 | [email protected] ( 路人 | Rank:14 漏洞数:10 | 希望和大家多多交流，多多沟通、)

   1

   @暧昧 仔细看，你就懂了

   4# 回复此人

5. 2014-10-26 22:26 | XOXO ( 路人 | Rank:4 漏洞数:4 | 终于有邀请码了！)

   0

   知道网站源码怎么找到数据库密码？求科普。。。。

   5# 回复此人

6. 2014-10-26 22:34 | chock ( 普通白帽子 | Rank:156 漏洞数:33 | 若你喜欢怪人)

   0

   @XOXO pm我看看

   6# 回复此人

7. 2014-10-26 22:38 | XOXO ( 路人 | Rank:4 漏洞数:4 | 终于有邀请码了！)

   0

   @chock 你是怎么根据源码找到数据库密码的？求指教！= =。

   7# 回复此人

8. 2014-10-26 22:46 | 暧昧 ( 路人 | Rank:6 漏洞数:3 | 此号乃是吾用来装孙子也)

   0

   @XOXO 应该是哪个文件泄漏了密码

   8# 回复此人

9. 2014-10-26 22:48 | XOXO ( 路人 | Rank:4 漏洞数:4 | 终于有邀请码了！)

   0

   @暧昧 <?php $cfg['blowfish_secret'] = 'ba17c1ec07d65003'; // use here a value of your choice $i=0; $i++; $cfg['Servers'][$i]['auth_type'] = 'cookie'; ?> Or, if you prefer to not be prompted every time you log in: <?php $i=0; $i++; $cfg['Servers'][$i]['user'] = 'root'; $cfg['Servers'][$i]['password'] = 'cbb74bc'; // use here your password $cfg['Servers'][$i]['auth_type'] = 'config'; ?> 看不懂 = =！

   9# 回复此人

10. 2014-10-26 23:13 | chock ( 普通白帽子 | Rank:156 漏洞数:33 | 若你喜欢怪人)

    0

    @XOXO root cbb74b7

    10# 回复此人

11. 2014-10-26 23:21 | 暧昧 ( 路人 | Rank:6 漏洞数:3 | 此号乃是吾用来装孙子也)

    1

    @XOXO ['user'] = 'root'; $cfg['Servers'][$i]['password'] = 'cbb74bc'; 账号：Root 密码：cbb74bc

    11# 回复此人