HanDs
NO.2

[7月漏洞公开] 建设银行某分行系统漏洞导致GetShell 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

细心观察你会发现世界充满邪恶!!!

详细说明:

忘记是怎么发现这个开发者的,泄露了内部测试APP,测试发现服务web应用的后台存在任意上传。

code 区域
https://**.**.**.**/mbsios/localinstallplist

漏洞证明:

1、扫描端口获取商户后台

code 区域
**.**.**.**:4225/





2、注册后添加信息上传(jspx)

22.jpg





3、GetShell&ping

33.jpg



11.jpg

修复方案:

测试了几次上传,麻烦通知删测试文件


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
建设
#1楼
发帖时间:2016-7-11   |   查看数:0   |   回复数:0
游客组