HanDs
NO.2

[7月漏洞公开] 保险行业安全之亚太财险某系统GetShell影响大量个人/企业保单信息 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

...

详细说明:

code 区域

mask 区域
1.://**.**.**/



【看数据猜归属 ^_______^】

反序列getshell

code 区域

mask 区域
1.://**.**.**/bea_wls_internal/1.jsp



mima:

mask 区域
*****m*****



jdbc:

code 区域
<url>jdbc:oracle:thin:@(DESCRIPTION =(ADDRESS = (PROTOCOL = TCP)(HOST = **.**.**.**)(PORT = 1521))(ADDRESS = (PROTOCOL = TCP)(HOST = **.**.**.**)(PORT = 1521))(LOAD_BALANCE = yes)(CONNECT_DATA =(SERVER = DEDICATED)(SERVICE_NAME = zjdb)(FAILOVER_MODE =(TYPE = SELECT)(METHOD = BASIC))))</url>
<driver-name>oracle.jdbc.OracleDriver</driver-name>
<properties>
<property>
<name>user</name>
<value>hx_kpxt</value>
</property>
</properties>
<password-encrypted>{AES}pTJwYIX3x1ul7Ds29XnxEJBUj9Gw3DVuwvWlchxsC7k=</password-encrypted>



K3.png



K4.png

漏洞证明:

K3.png



K4.png

修复方案:

更新补丁


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
保险 幸蛋踩
#1楼
发帖时间:2016-7-15   |   查看数:0   |   回复数:0
游客组