HanDs
管理员

[7月漏洞公开] 中国航天科技旗下某分站存在任意文件上传漏洞可威胁内网 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

任意文件上传漏洞

详细说明:

http://**.**.**.**/

QQ截图20160522112157.png



其中 成都航天模塑研发管理平台http://**.**.**.**:2000/存在任意文件上传

QQ截图20160522112253.png





通过本地构造html

code 区域
http://**.**.**.**:2000/upload?dir=cmVwb3NpdG9yeQ==&name=d3BwMS5qc3A=&start=0&size=7000&



QQ截图20160522112433.png

漏洞证明:

成功上传shell

http://**.**.**.**:2000/repository/000000001/wpp1.jsp

密码:023

QQ截图20160522112531.png



服务器上有很多站点

QQ截图20160522112722.png



QQ截图20160522112932.png

修复方案:

删除shell,补丁


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
中国航天 科技 旗下 分站 存在 任意 文件 上传 漏洞 威胁
#1楼
发帖时间:2016-7-9   |   查看数:0   |   回复数:0
游客组
快速回复