HanDs
管理员

[7月漏洞公开] 江苏省道路客运交通网命令执行(影响十五万用户的明文密码) 



详细说明:

问题url:

code 区域
http://**.**.**.**/login.do



存在s2-016远程命令执行漏洞

漏洞证明:

问题url:

2016-05-31 20:10:30屏幕截图.png



上传一句话木马,位置:

code 区域
http://**.**.**.**/bak.jsp



密码: chopper

发现前人入侵痕迹

在数据库里面发现smtp服务的配置文件,捡到邮箱一枚。

在登录的时候要求更改密码:现已更改为: Wooyun123456!

第一次登录需更改密保问题。现已改为:

code 区域
最大的爱好:学习
我的理想工作:黑客



打扰到网站的正常运行了。十分抱歉。

经查,此密码是用来给用户发送找回密码等信息的

如图

2.png



201.png



十五万多条发送记录

修复方案:

很抱歉,不小心更改了邮箱的密码。所有信息已经在漏洞证明中提交了,我感到十分抱歉,还请多多包涵不要追究我的法律责任


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
江苏 房驮私
#1楼
发帖时间:2016-7-19   |   查看数:0   |   回复数:1
baobao3950
雪绒花LV22
干的漂亮

2016-7-20 #2楼
游客组
快速回复