神刀安全网

漏洞标题: 吉利某网站泄露所有源代码已成功拿下服务器

漏洞详情

披露状态:

2016-03-15: 细节已通知厂商并且等待厂商处理中
2016-03-20: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

Nginx解析问题+源代码泄露=服务器权限

详细说明:

http://2014beijing.geely.com/2014beijing.tar.gz

1G多的源代码,下载后,查看SQL文件,找到账号密码,

http://2014beijing.geely.com/bocadmin/index.php?login

账号webadmin密码webadmin999

bocadmin bocadmin999

发现服务器上有很多网站,然后发现了这个

http://global.geely.com/favicon.ico/a.php

后台上传图片 然后你懂的

漏洞证明:

漏洞标题:  吉利某网站泄露所有源代码已成功拿下服务器

漏洞标题:  吉利某网站泄露所有源代码已成功拿下服务器

里面有多少数据,我就不看了,太多了,(内网渗透体力活)

漏洞标题:  吉利某网站泄露所有源代码已成功拿下服务器

漏洞标题:  吉利某网站泄露所有源代码已成功拿下服务器

修复方案:

删除备份,升级Nginx

版权声明:转载请注明来源 钱途@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 吉利某网站泄露所有源代码已成功拿下服务器

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮