HanDs
管理员

[7月漏洞公开] 易安保险多系统存缺陷漏洞打包已shell 



如题

详细说明:

前四处漏洞

**.**.**.**/outerpay/login;JSESSIONID=7f01f846-e0a9-4cfd-9414-f2330500e5a8

对外支付管理

**.**.**.**:8080/UCenter/login;JSESSIONID=57f9cdae-cea3-427a-b19f-aaacf4240891

用户中心管理

**.**.**.**:8081/order/login;JSESSIONID=d62fa2e2-58aa-4c59-99f8-a746077ebcfc

订单管理系统

**.**.**.**:8082/trans/login;JSESSIONID=790fe7d7-a94d-4166-9f31-1beed9638e58

转换系统

**.**.**.**:8083/pm/login;JSESSIONID=17b738d5-3e8a-4736-8c5a-2732fd926aff 产品中心系统

以上系统在/manager/html 页面密码都是弱口令 都是admin admin

马的位置

**.**.**.**/is/index.jsp

**.**.**.**:8080/is/index.jsp

**.**.**.**:8081/is/index.jsp

**.**.**.**:8082/is/index.jsp

**.**.**.**:8083/is/index.jsp

密码023

root 权限

可以拿到大量源码 以及 数据库密码



漏洞后二处

**.**.**.**:8081/order/druid/login.html

**.**.**.**:8080/UCenter/druid/index.html





admin admin

可看到大量监控信息







漏洞证明:

QQ图片20160521105758.png

QQ图片20160521105859.png



QQ图片20160521110010.png



QQ图片20160521110220.png

QQ图片20160521110407.png





QQ图片20160521110532.png





QQ图片20160521111558.png



QQ图片20160521113349.png

修复方案:


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
易安 保险 系统 缺陷 漏洞 打包 s he ll
#1楼
发帖时间:2016-7-9   |   查看数:0   |   回复数:0
游客组
快速回复