HanDs
管理员

[7月漏洞公开] 湖北建设厅某漏洞涉及100w+用户信息 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

安全无小事,一个弱口令!

详细说明:

湖北省建设厅村镇建设综合业务平台**.**.**.**/hbczcywxt/Login.aspx

问题1:弱口令admin/123

1.png



问题2:任意文件上传

1.png



Webshell:

1.png



xp_cmdshell组件:

1.png

漏洞证明:

成功连接数据库:

1.png



HBYWDB库存储了很多用户信息:

1.png



选取两个大的:LCP_FRM_AQSCXKZ_TZGZRY表631692条:

1.png



LCP_FRM_JZY_QYYZCGCJSHJJGLRYMD表400215条:

1.png



其他内网啥的就不深入了,这里就不演示了,尽快修复吧。

修复方案:

1.提高密码复杂度;

2.限制上传文件类型。


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
湖北 建设厅 漏洞 涉及 1 00 w + 用户 信息
#1楼
发帖时间:2016-7-11   |   查看数:0   |   回复数:0
游客组
快速回复