2014-05-28:细节已通知厂商并且等待厂商处理中
2014-05-28:厂商已经确认,细节仅向厂商公开
2014-06-07:细节向核心白帽子及相关领域专家公开
2014-06-17:细节向普通白帽子公开
2014-06-27:细节向实习白帽子公开
2014-07-12:细节向公众公开
泄漏不少业务信息哦。
详细说明:看到小i机器人注册了厂商,好吧,不由得扫了一下他的域名。找到了如下这么一个野生的后台:
测试弱口令未果。。
试试登陆处注入admin' or '1'='1' or ''='
成功登录进来了。。看到不少监控的东西:
漏洞证明:
还有一些内网的东西:
当然包括dns:
不一一列举了,就这样吧。
不知道这个后台是否还在使用。。不在用的话。。就下了吧,还在使用就把登录的地方过滤下。。
版权声明:转载请注明来源 梧桐雨@乌云漏洞回应 厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2014-05-28 16:38
厂商回复:该业务系统已经废弃,会泄漏部分2010年之前的信息,谢谢提醒
最新状态:暂无