HanDs
NO.2

[7月漏洞公开] 智慧医疗安全之康康在线某功能后台沦陷至百万居民基本档案/体检档案信息泄露 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

养了辣么多狗,还是不能保安全啊。

详细说明:

先来张app高清有码图:

app.jpg



burp抓包,发现不少功能后台,其他大多有狗,这一个无狗看守:

后台.png



struct2漏洞getshell:

shell.png



进得大门四处瞧瞧,发现不少系统源码,其中有这个:

mksq.png



打开文件看看,发现:

mkuser.jpg



默认的密码能用吗?上某买药站,找到:

http://**.**.**.**/mkjts/

http://**.**.**.**/MKJSJ/

登录试试,成功进入:

九台市基本档案:

九台建档2.png



建三江市基本档案:

建三江档案.png



个人档案信息:

个人档案.png



九台市居民体检信息:

九台市.jpg



建三江市居民体检信息:

建三江市.jpg





个人体检记录:

体检记录.png



漏洞证明:

个人档案.png



体检记录.png

修复方案:


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
智慧
#1楼
发帖时间:2016-7-15   |   查看数:0   |   回复数:0
游客组