数银在线Struts命令执行漏洞，全站沦陷

admin · 发表于 2012-12-3 05:51:48

漏洞标题：数银在线Struts命令执行漏洞，全站沦陷

漏洞类型：命令执行

危害等级：高

简要描述：

数银在线某些地址存在Struts命令执行漏洞，利用该漏洞可以轻松查看数据库数据，貌似该服务器存在很多核心数据库，包含大量敏感信息，包括职员数据、用户数据、合作银行数据等。

详细说明：

从http://index.6677bank.com/login/toLogin.action地址发现，该网站存在struts命令执行漏洞，进入服务器后发现当前系统账号是root，通过相关配置文件可以进入数据库，目测该站同时存在管理员弱口令漏洞，安全意识需要加强。

漏洞证明：

当前用户是管理员：

可以直接查看数据库配置：

可以读取任何数据（比如短信网关配置）：

修复方案：

我就大概看了下，啥也没改，也没继续深入，谢绝跨省，政府明鉴。

法克诱 · 发表于 2012-12-9 11:51:39

我好想升级

显示全部楼层 · 发表于 2014-10-20 01:37:28

提示: 作者被禁止或删除内容自动屏蔽

潘神燈 · 发表于 2014-10-26 19:09:33

谁能送我几分啊

雅沉萍 · 发表于 2014-11-6 05:55:23

好贴坏贴，一眼就看出去

心无和 · 发表于 2014-11-18 18:41:40

非常感谢楼主，楼主万岁万岁万万岁！

杀猪的 · 发表于 2014-12-6 13:57:58

朕要休息了..............

我是你爱人 · 发表于 2014-12-29 18:04:59

拿把椅子看表演

皇金鸡腿 · 发表于 2015-1-29 14:46:23

支持你就顶你

雷神阁 · 发表于 2015-3-3 18:42:18

任何的限制，都是从自己的内心开始的。

血路追杀该用户已被删除	发表于 2014-10-20 01:37:28 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
血路追杀该用户已被删除
	回复支持反对使用道具举报显身卡