查看: 3460|回复: 25

数银在线Struts命令执行漏洞,全站沦陷

[复制链接]
发表于 2012-12-3 05:51:48 | 显示全部楼层 |阅读模式

漏洞标题:数银在线Struts命令执行漏洞,全站沦陷

漏洞类型:命令执行

危害等级:高


简要描述:

数银在线某些地址存在Struts命令执行漏洞,利用该漏洞可以轻松查看数据库数据,貌似该服务器存在很多核心数据库,包含大量敏感信息,包括职员数据、用户数据、合作银行数据等。


详细说明:

http://index.6677bank.com/login/toLogin.action地址发现,该网站存在struts命令执行漏洞,进入服务器后发现当前系统账号是root,通过相关配置文件可以进入数据库,目测该站同时存在管理员弱口令漏洞,安全意识需要加强。


漏洞证明:

当前用户是管理员:

可以直接查看数据库配置:

可以读取任何数据(比如短信网关配置):


修复方案:

我就大概看了下,啥也没改,也没继续深入,谢绝跨省,政府明鉴。

发表于 2012-12-9 11:51:39 | 显示全部楼层
我好想升级  
血路追杀 该用户已被删除
发表于 2014-10-20 01:37:28 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2014-10-26 19:09:33 | 显示全部楼层
谁能送我几分啊  
发表于 2014-11-6 05:55:23 | 显示全部楼层
好贴坏贴,一眼就看出去  
发表于 2014-11-18 18:41:40 | 显示全部楼层
非常感谢楼主,楼主万岁万岁万万岁!  
发表于 2014-12-6 13:57:58 | 显示全部楼层
朕要休息了..............  
发表于 2014-12-29 18:04:59 | 显示全部楼层
拿把椅子看表演
发表于 2015-1-29 14:46:23 | 显示全部楼层
支持你就顶你  
发表于 2015-3-3 18:42:18 | 显示全部楼层
任何的限制,都是从自己的内心开始的。  
高级模式
B Color Image Link Quote Code Smilies

本版积分规则