宜信某重要分站命令执行(可内网渗透)

admin

139544
文章

114
评论

2015年8月13日14:41:10评论411 views字数 203阅读0分40秒阅读模式

摘要

2014-11-18：细节已通知厂商并且等待厂商处理中
2014-11-18：厂商已查看当前漏洞内容,细节仅向厂商公开
2014-11-23：厂商已经主动忽略漏洞，细节向公众公开

漏洞概要关注数(8) 关注此漏洞

缺陷编号： WooYun-2014-83674

漏洞标题：宜信某重要分站命令执行(可内网渗透)

漏洞作者： U神

提交时间： 2014-11-18 12:09

公开时间： 2014-11-23 12:10

漏洞类型：命令执行

危害等级：高

自评Rank： 10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

0人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

code 区域

http://wyx.creditease.cn/manage/index.action  微营销后台管理

whoami:高权限

可GETSHELL：

3389已开，通过转发应该可以获取服务器权限从而进行内网渗透。时间比较晚，不深入下去，点到为止了~

漏洞证明：

修复方案：

修复吧，上传的shell已删除

版权声明：转载请注明来源 U神@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-11-23 12:10

厂商回复：

漏洞Rank：8 (WooYun评价)

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-11-18 12:28 | 幽灵 ( 普通白帽子 | Rank:600 漏洞数:163 | good good study , day day up!)

2

我还在还它的贷款的，要是能取消我的还贷就好了 ^_^^_^

1# 回复此人
2014-11-18 13:14 | VinGogh ( 路人 | Rank:28 漏洞数:7 | G.X.)

1

@幽灵这个厂商会间接性发疯，可能会忽略哟

2# 回复此人
2014-11-19 21:48 | Martes ( 路人 | Rank:23 漏洞数:4 | 人若无名，便可专心练剑)

2

比较好奇，mark下

3# 回复此人
2014-11-23 17:40 | 有点小鸡冻 ( 路人 | Rank:12 漏洞数:8 )

1

话说我还在宜信贷了两万,U神你能帮我把记录删除了吗??嘻嘻

4# 回复此人

漏洞概要 关注数(8) 关注此漏洞

缺陷编号： WooYun-2014-83674

漏洞标题： 宜信某重要分站命令执行(可内网渗透)

相关厂商： 宜信