神刀安全网

漏洞標題: 帅康集团某视频会议服务器存在SQL注入漏洞可getshell进内网导致大量信息泄露(包含经销商,各地区代理账户密码)(大陆地区)

漏洞詳情

披露狀態:

2016-04-07: 積極聯系廠商並且等待廠商認領中,細節不對外公開
2016-05-22: 廠商已經主動忽略漏洞,細節向公眾公開

簡要描述:

帅康集团某视频会议服务器存在SQL注入漏洞,可getshell进内网,同时大量信息泄露(包含经销商,各地区代理账户密码)

詳細說明:

帅康集团公司主要生产高档吸油烟机、燃气灶具、消毒柜、电热水器、太阳能热水器、燃气热水器、现代橱柜、集成吊顶、净水器、微波炉、蒸汽炉、烤箱及水槽等10多个系列1200多个规格的厨电和卫浴产品,是国内系列最全、规模最大的厨卫家电制造基地之一。帅康系列产品中有23项产品属国际领先水平,35项居国际先进行列,56项填补国内空白。帅康系列产品已经出口到美国、德国、日本等全球近50多个国家和地区,其中帅康健康型厨电产品还获得德国政府的补贴。(来自百度百科)

漏洞地址

code 区域
http://**.**.**.**:443/Conf/jsp/main/mainAction.do

漏洞標題:  帅康集团某视频会议服务器存在SQL注入漏洞可getshell进内网导致大量信息泄露(包含经销商,各地区代理账户密码)(大陆地区)

参考

code 区域
http://**.**.**.**/bugs/wooyun-2010-0143276

上大马getshell

漏洞標題:  帅康集团某视频会议服务器存在SQL注入漏洞可getshell进内网导致大量信息泄露(包含经销商,各地区代理账户密码)(大陆地区)

shell地址为

code 区域
http://**.**.**.**:443/wooyun.jsp

密码:helloworld

漏洞標題:  帅康集团某视频会议服务器存在SQL注入漏洞可getshell进内网导致大量信息泄露(包含经销商,各地区代理账户密码)(大陆地区)

已在内网中

漏洞標題:  帅康集团某视频会议服务器存在SQL注入漏洞可getshell进内网导致大量信息泄露(包含经销商,各地区代理账户密码)(大陆地区)

然后发现了大量用户信息,代理商的,办事处的,应该是个数据库备份,挺大的,就截图了几张。

漏洞證明:

漏洞標題:  帅康集团某视频会议服务器存在SQL注入漏洞可getshell进内网导致大量信息泄露(包含经销商,各地区代理账户密码)(大陆地区)

漏洞標題:  帅康集团某视频会议服务器存在SQL注入漏洞可getshell进内网导致大量信息泄露(包含经销商,各地区代理账户密码)(大陆地区)

漏洞標題:  帅康集团某视频会议服务器存在SQL注入漏洞可getshell进内网导致大量信息泄露(包含经销商,各地区代理账户密码)(大陆地区)

用找到的用户名密码登陆了下视频会议系统,果然可以~

漏洞標題:  帅康集团某视频会议服务器存在SQL注入漏洞可getshell进内网导致大量信息泄露(包含经销商,各地区代理账户密码)(大陆地区)

公司开了不少会啊2016年~要是别人进去旁听一下,也算是泄露机密吧?

大概就这么些吧~

修復方案:

升级系统,打补丁吧!

版權聲明:轉載請註明來源 路人甲@烏雲

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞標題: 帅康集团某视频会议服务器存在SQL注入漏洞可getshell进内网导致大量信息泄露(包含经销商,各地区代理账户密码)(大陆地区)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址