漏洞详情

披露状态:

2014-03-04: 细节已通知厂商并且等待厂商处理中
2014-03-09: 厂商已经确认,细节仅向厂商公开
2014-03-19: 细节向核心白帽子及相关领域专家公开
2014-03-29: 细节向普通白帽子公开
2014-04-08: 细节向实习白帽子公开
2014-04-18: 细节向公众公开

简要描述:

网站基于Axis2框架的,管理密码存在风险性,服务器同时存在struts2漏洞,可以拿shell
怎个过程没怎么截图,有点零散,拿到shell后,发现有大神到此一游~很快shell就被删了~神速的响应效率,还是download左点有用的~给大家截图

详细说明:

登陆页面

http://218.108.73.82

1.png





Axis2 administration console

http://218.108.73.82/codebase/

2.png



默认账户密码登陆admin:axis2

登陆成功~

download了一个监控回来和部分源码和数据库文件

7.png



8.png



所有数据都没有连接外网的

6.png



把download的部分数据文件进行可视化

9.png





漏洞证明:

3.png



4.png

5.png



9.png



http://218.108.73.82/conf/cms-config.xml

网站目录结构

10.png

修复方案:

我是菜鸟……我不懂~

版权声明:转载请注明来源 fsd010@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2014-03-09 21:38

厂商回复:

该系统软件漏洞已经通报联系过多次,对于所述案例,已经转由CNCERT下发给浙江分中心处置,并建议用户联系软件生产厂商。

最新状态:

暂无


漏洞评价: