神刀安全网

漏洞标题: 穿森马就测森马(从java反序列化到内网)

漏洞详情

披露状态:

2016-04-13: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

穿森马套装的骚年和森马的一次亲密接触

详细说明:

**.**.**.**:8081/

漏洞标题:  穿森马就测森马(从java反序列化到内网)

当我看到这个URL时,穿着森马套装的我立刻察觉到这个URL有问题!

我平复一下心情,整理了一下衣衫,把他放进了工具:

漏洞标题:  穿森马就测森马(从java反序列化到内网)

是他!是他是他!就是他!JAVA反序列化!

在这个moment,一位森马骚年准备要和森马来一次XXXX了。

·

·

哎哟呵,系统权限,找目录目录,找啊找,上传shell。

漏洞标题:  穿森马就测森马(从java反序列化到内网)

相信我,买手评论这个我也不知道是什么东西··,森马衣服确实便宜,经常有活动,一有活动我就让我妈给钱去买··

·

·

不知道是不是今天穿森马的缘故,幸运值比较高。又或服务器对穿森马的来者不拒呢··

成功添加账户!

漏洞标题:  穿森马就测森马(从java反序列化到内网)

·

·

端口转发,我要日进去了!

·

·

此时此刻,我内心久久不能平静

漏洞标题:  穿森马就测森马(从java反序列化到内网)

这就是森马的内内内内网!

·

·

感觉身上的森马套装更耀眼夺目了呢··

漏洞证明:

加盟商and直营:16万多家··

漏洞标题:  穿森马就测森马(从java反序列化到内网)

·

·

好多数据就不一一翻了

漏洞标题:  穿森马就测森马(从java反序列化到内网)

(不知道送不送衣服呢·· _(:з」∠)_ _(:з」∠)_ _(:з」✿)_

修复方案:

中间件升级,服务器打补丁,装WAF

版权声明:转载请注明来源 水系cmos@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 穿森马就测森马(从java反序列化到内网)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址