HanDs
管理员

[7月漏洞公开] 北京高招某系统漏洞Getshell(涉及最新上万考生信息/身份证/考号) 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

所谓高招,就是高考招生。最新的数据,涉及到北京市区所有高校

详细说明:

http://**.**.**.**/themis-web/getYearsAction.action St2-032版命令执行漏洞

1.png



Geshell

2.png



找了很久找不到好的东西,七里八糟的文件看不懂。然后就试试/tmp目录。。开森

3.png

4.png

9.png

漏洞证明:

7.png

8.png

其中bdf文件也可以用excel打开。。很多的

10.png

修复方案:

1)禁用动态方法调用

2)升级补丁 如Struts **.**.**.**


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
北京 高招 系统 漏洞 G et sh el l
#1楼
发帖时间:2016-7-18   |   查看数:0   |   回复数:0
游客组
快速回复