漏洞详情

披露状态:

2014-02-21: 细节已通知厂商并且等待厂商处理中
2014-02-22: 厂商已经确认,细节仅向厂商公开
2014-03-04: 细节向核心白帽子及相关领域专家公开
2014-03-14: 细节向普通白帽子公开
2014-03-24: 细节向实习白帽子公开
2014-04-07: 细节向公众公开

简要描述:

年前发现的这几天才记起,呵呵提交吧。YY

详细说明:

IIS配置不当,直接put上传一句话。3389登录服务器才发现原来是盛大的站。



当时一登录服务器我就把webdav禁止了,算是防止二次入侵吧。



1 描述:榛樿缃戠珯 
主机头:

2 描述:Gplus
主机头:Gplus.sdptest.sdo.com

3 描述:MerchantcontorlPro-NEW
主机头:pronew.shengpay.com

4 描述:PaymentWebService
主机头:

5 描述:test.igw.jf.sdo.com
主机头:igwjf.sdptest.sdo.com

6 描述:OA_Service
主机头:

7 描述:Merchantrefundnotify
主机头:

8 描述:SJMerchantCenter
主机头:10.132.19.18

9 描述:PayHTML5
主机头:coupon-api.sdptest.shengpay.com 10.132.19.18

10 描述:merchantservicetestforzhongli
主机头:

11 描述:sfbapi
主机头:

12 描述:MerchantAPI
主机头:

13 描述:merchantdev
主机头:dev.mc.com

14 描述:MCS.Web
主机头:

15 描述:SDPayWeb
主机头:ingamepay.sdptest.sdo.com

16 描述:qpayigw
主机头:test9qpayigw.sdo.com

17 描述:IGWPay
主机头:newigw.pay.sdptest.sdo.com

18 描述:movie
主机头:

19 描述:MerchantcontorlPro
主机头:pro.shengpay.com

20 描述:MerchantcontorlAir
主机头:air.shengpay.com

21 描述:MerchantcontorlAir-RealName
主机头:realair.shengpay.com

22 描述:MerchantcontorlPro-RealName
主机头:realpro.shengpay.com

23 描述:Qpayment
主机头:qpayment.sdptest.sdo.com

24 描述:CardWeb
主机头:card.sdptest.sdo.com

25 描述:dianquanbao
主机头:dianquanbao.sdo.com

26 描述:mc.shengpay.com
主机头:mc.shengpay.com

27 描述:merchantairdev
主机头:airdev.mc.com

28 描述:test.BigFossick.jf.sdo.com
主机头:BigFossickjf.sdptest.sdo.com

29 描述:OA_PayInterfaceWeb
主机头:oa.sdptest.sdo.com

30 描述:test.appigw.jf.sdo.com
主机头:appigwjf.sdptest.sdo.com

31 描述:qidian
主机头:10.132.19.18www.sdptest.qidian.com www.sdptest.qidian.com

32 描述:netpay
主机头:netpay.sdptest.sdo.com netpay1.sdptest.sdo.com

33 描述:easypay.service
主机头:settle.netpay.sdptest.sdo.com

34 描述:pay-sft
主机头:pay1.sdptest.sdo.com

35 描述:supportweb
主机头:supportwebjf.sdptest.sdo.com

36 描述:TestFilePro
主机头:10.132.19.18

37 描述:BuyWeb
主机头:buyweb.sdptest.sdo.com

38 描述:html5test
主机头:

39 描述:webqidian
主机头:

40 描述:test.Gameweb.jf.sdo.com
主机头:Gamewebjf.sdptest.sdo.com

41 描述:WhiteList
主机头:userlib.direct.sdptest.sdo.com

42 描述:MerchantService
主机头:10.132.19.18pro.shengpay.com

43 描述:ChannelBCPAdmin
主机头:qudaoadmin.sdptest.sdo.com

44 描述:IGWWebPayGPlus
主机头:10.132.19.18newigw.pay.sdptest.sdo.com

45 描述:zhuanye
主机头:zhuanye.sdptest.shengpay.com

46 描述:CheckBilling
主机头:

47 描述:test.jf.sdo.com
主机头:jf.sdptest.sdo.com www.sdptest.minishua.com jftest.sdo.com jftest.shengpay.com

48 描述:ChannelBCPWeb
主机头:qudao.sdptest.sdo.com

49 描述:Log
主机头:

50 描述:logs
主机头:10.132.19.18log.shengpay.com

51 描述:Pay
主机头:pay.sdptest.sdo.com

52 描述:qpay
主机头:qpay.sdptest.sdo.com test9qpay.sdo.com

53 描述:test.ibwguide.jf.sdo.com
主机头:ibwguidejf.sdptest.sdo.com

54 描述:sft
主机头:www.sdptest.shengpay.com

55 描述:test.hz.jf.sdo.com
主机头:hzjf.sdptest.sdo.com



漏洞证明:

11111111111111111111111.jpg





TM截图20140221210236.jpg

修复方案:

你懂的。

版权声明:转载请注明来源 YY-2012@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-02-22 11:33

厂商回复:

谢谢报告,正在紧急修复。

最新状态:

暂无


漏洞评价: