HanDs
管理员

[7月漏洞公开] 广西扶贫办某系统漏洞导致getshell(涉及1500万敏感信息) 



详细说明:

广西精准识别贫困户贫困村信息管理系统

6.png



**.**.**.** 7009 存在反序列化漏洞

1.jpg



直接getshell,shell地址:

http://**.**.**.**:7009/uddiexplorer/hj.jsp 密码:a

数据库连接文件:

code 区域
success.jdlk.jdbc.driver=oracle.jdbc.driver.OracleDriver
success.jdlk.jdbc.url=jdbc:oracle:thin:@**.**.**.**:1521:SKSS
success.jdlk.jdbc.username=jdlk_new
success.jdlk.jdbc.password=skss

JZSB_MEMBER表包含1543万个人信息:

2.png

包含姓名,身份证号,地址,电话等信息:

4.png



漏洞证明:

修复方案:


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
广西 扶贫办 系统 漏洞 导致 g et sh el l
#1楼
发帖时间:2016-7-11   |   查看数:0   |   回复数:1
jjyyjjyy
天堂鸟LV23
这裤子谁有?

2016-7-11 #2楼
游客组
快速回复