神刀安全网

中国联通某业务getshell可泄漏大量用户服务密码,可查通话、短信、上网等记录

简要描述:

中国联通某业务getshell可泄漏几千万用户服务密码,可查通话、短信、上网等记录。

详细说明:

Struts2漏洞

地址:http://**.**.**.**/user/user/login.action

数据库连接信息

中国联通某业务getshell可泄漏大量用户服务密码,可查通话、短信、上网等记录

全国业务账户

中国联通某业务getshell可泄漏大量用户服务密码,可查通话、短信、上网等记录

数据库中记录有用户服务密码

中国联通某业务getshell可泄漏大量用户服务密码,可查通话、短信、上网等记录

中国联通某业务getshell可泄漏大量用户服务密码,可查通话、短信、上网等记录

数据量比较大…

2800W

中国联通某业务getshell可泄漏大量用户服务密码,可查通话、短信、上网等记录

2000W

中国联通某业务getshell可泄漏大量用户服务密码,可查通话、短信、上网等记录

650W

中国联通某业务getshell可泄漏大量用户服务密码,可查通话、短信、上网等记录

30W

中国联通某业务getshell可泄漏大量用户服务密码,可查通话、短信、上网等记录

15W

中国联通某业务getshell可泄漏大量用户服务密码,可查通话、短信、上网等记录

数据太多,shell执行太慢,只列了下数量。

内网信息

中国联通某业务getshell可泄漏大量用户服务密码,可查通话、短信、上网等记录

漏洞证明:

随机试了几个不是默认密码的登录网上营业厅举例。

中国联通某业务getshell可泄漏大量用户服务密码,可查通话、短信、上网等记录

中国联通某业务getshell可泄漏大量用户服务密码,可查通话、短信、上网等记录

中国联通某业务getshell可泄漏大量用户服务密码,可查通话、短信、上网等记录

用自己的号在网上营业厅测试,可以查看通话、短信和手机上网记录。

中国联通某业务getshell可泄漏大量用户服务密码,可查通话、短信、上网等记录

中国联通某业务getshell可泄漏大量用户服务密码,可查通话、短信、上网等记录

中国联通某业务getshell可泄漏大量用户服务密码,可查通话、短信、上网等记录

安全检测,未做其他操作。

修复方案:

升级补丁

版权声明:神刀安全网转自 p4ssw0rd@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 中国联通某业务getshell可泄漏大量用户服务密码,可查通话、短信、上网等记录

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮