HanDs
管理员

[7月漏洞公开] 南京市计生委某信息系统命令执行涉及用户敏感信息(姓名/身份证/地址等) 



南京市计生委

详细说明:

**.**.**.**/jsw3/

7.jpg





java反序列化漏洞

code 区域
HELO:**.**.**.**.false
AS:2048
HL:19
HELO:**.**.**.**.false
AS:2048
HL:19



成功拿到shell

**.**.**.**/uddiexplorer/ss.jsp

8.jpg





code 区域
看下数据库连接信息

<url>jdbc:oracle:thin:@**.**.**.**:1521:jswbt</url>
<driver-name>oracle.jdbc.xa.client.OracleXADataSource</driver-name>
<properties>
<property>
<name>user</name>
<value>jswbt</value>
</property>
</properties>
<password-encrypted>{AES}rHKIQNE6mqsNW75maekqELa5lggoDu9WfMKz48gvtdM=</password-encrypted>





9.jpg





WAS_TRANSDATASET 1500多万

10.jpg

漏洞证明:

WAS_TRANSDATASET 1500多万

10.jpg

修复方案:

补丁


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
南京
#1楼
发帖时间:2016-7-11   |   查看数:0   |   回复数:0
游客组
快速回复