HanDs
管理员

[7月漏洞公开] 华海保险某站点命令执行GetShell涉及保单信息 



...

详细说明:

code 区域

mask 区域
1.http://**.**.**/



9999 port 测试webloigc反序列命令执行可getshell

code 区域

mask 区域
1.http://**.**.**/bea_wls_internal/ceshi.jsp



mima:

mask 区域
*****m*****



A6.png



code 区域
<url>jdbc:oracle:thin:@10.5.1.167:1521:hhuat</url>
<driver-name>oracle.jdbc.OracleDriver</driver-name>
<properties>
<property>
<name>user</name>
<value>ygz050601</value>
</property>
</properties>
<password-encrypted>{AES}DiP4T1umfDTBNzyQoTm1g9U7eGuYvHXCK8x9i0aHS/8=</password-encrypted>



测试仅抽取10条验证:

A7.png

漏洞证明:

A7.png

修复方案:

更新补丁

删除测试shell


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
华海 保险 站点 命令 执行 G et Sh el l 涉及 保单 信息
#1楼
发帖时间:2016-7-9   |   查看数:0   |   回复数:0
游客组
快速回复