漏洞概要 关注数(5) 关注此漏洞
缺陷编号: WooYun-2016-180555
漏洞标题: 贵州财政厅某系统漏洞可GetShell可内网漫游(涉及全省行业人员姓名/身份证/电话/住址/单位/考试/考题等信息等信息)
相关厂商: 贵州财政厅
漏洞作者: 路人甲
提交时间: 2016-03-03 19:50
公开时间: 2016-04-21 11:20
漏洞类型: 服务弱口令
危害等级: 高
自评Rank: 20
漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
Tags标签: 敏感信息泄漏 安全意识不足 用户敏感信息泄漏 安全意识不足
漏洞详情
披露状态:
2016-03-03: 细节已通知厂商并且等待厂商处理中
2016-03-07: 厂商已经确认,细节仅向厂商公开
2016-03-17: 细节向核心白帽子及相关领域专家公开
2016-03-27: 细节向普通白帽子公开
2016-04-06: 细节向实习白帽子公开
2016-04-21: 细节向公众公开
简要描述:
安全无小事,千里之堤溃于蚁穴
详细说明:
贵州会计信息管理系统http://**.**.**.**:7001/guizhou-eams/
中间件弱口令:weblogic/weblogic****
GetShell:http://**.**.**.**:7001/wO0yun/index.jsp w@@y.、
内外转发,成功进入系统:
漏洞证明:
1.内网应用服务器156
涉及上报财政厅文件,主要包含会计编号、人员相关信息
涉及1.37GB的人员XML信息:
信息量还是比较大的!
2.内网应用服务器155
大量的报考人员信息:
3.内网数据库151
大量的人员信息:
这个表涉及十几万信息:
4.考试系统122
大量试卷:
5.考试系统134
6.考试系统147
7.门户
8.会计审核插入库信息
全省会计从业人员数据(毕业院校、姓名、电话号码、身份证、家庭住址、就业单位信息):
人员数据信息:
9.通过webshell连接数据库
考试报名成功信息:
会计信息:
10.KJCYJC库
涉及全省的会计人员信息,同时可以在数据库插入会计信息(ps有一个库叫t_banjie),直接操作数据库了,这里选取的信息仅仅是部分信息,尽快修复吧!
修复方案:
1.提高密码复杂度;
2.对于重要数据进行加密;
3.服务降权,用户分权;
4.对系统进行一次全面的安全检查。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2016-03-07 11:20
厂商回复:
CNVD未直接复现所述情况,按照漏洞报送者所述情况整理通报,转由CNCERT下发给贵州分中心,由贵州分中心后续协调网站管理单位处置。
最新状态:
暂无
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
评论