四通政府网站广告发布系统漏洞 | wooyun-2011-01716| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2011-01716

漏洞标题：四通政府网站广告发布系统漏洞

漏洞作者： HAMa

提交时间：2011-03-26 11:45

修复时间：2011-03-26 13:53

公开时间：2011-03-26 13:53

漏洞类型：命令执行

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2011-03-26：积极联系厂商并且等待厂商认领中，细节不对外公开
2011-03-26：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

四通政府网站广告发布系统漏洞,破解版几乎都存在这个问题。

详细说明：

四通政府网站广告发布系统漏洞.广告发布系统后台登录验证错误，导致畸形文件生成，利用IIS6的解析漏洞可以直接不登陆后台直接获取SHELL.

漏洞证明：

/admin/gg1/js/xxx.asp;a.gif.js

修复方案：

/admin/gg1/add.asp,/admin/gg1/list.asp,/admin/gg1/createjs.asp,可以直接访问。建议加入包含文件，或者直接删除CREATEJS.ASP文件

版权声明：转载请注明来源 HAMa@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞Rank：8 (WooYun评价)

漏洞评价：

2011-03-26 18:22 | Surp4ss ( 路人 | Rank:2 漏洞数:2 | 不以风骚惊天下，就以淫荡动世人。)

用到了~

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2011-01716

漏洞标题：四通政府网站广告发布系统漏洞

相关厂商：四通网络

漏洞作者： HAMa

提交时间：2011-03-26 11:45

修复时间：2011-03-26 13:53

公开时间：2011-03-26 13:53

漏洞类型：命令执行

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 HAMa@乌云

漏洞回应

厂商回应：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2011-01716

漏洞标题：四通政府网站广告发布系统漏洞

相关厂商：四通网络

漏洞作者： HAMa

提交时间：2011-03-26 11:45

修复时间：2011-03-26 13:53

公开时间：2011-03-26 13:53

漏洞类型：命令执行

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2011-01716"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 HAMa@乌云

漏洞回应

厂商回应：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：