当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-015950

漏洞标题:万网某分站直接getshell。超危险system权限。不敢渗透。

相关厂商:万网

漏洞作者: 暴暴

提交时间:2012-12-13 12:00

修复时间:2013-01-27 12:00

公开时间:2013-01-27 12:00

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-12-13: 细节已通知厂商并且等待厂商处理中
2012-12-13: 厂商已经确认,细节仅向厂商公开
2012-12-23: 细节向核心白帽子及相关领域专家公开
2013-01-02: 细节向普通白帽子公开
2013-01-12: 细节向实习白帽子公开
2013-01-27: 细节向公众公开

简要描述:

暂且不说。。万一被某些人利用了。。。找到我身上就麻烦了。。

详细说明:

某处验证不严。。

漏洞证明:

jboss后台验证有问题。虽然加了密码,但是验证不严。还是可以getshell。。
sse.net.cn/ccc/index.jsp(shell已经删除,胆子小,不敢留)

QQ截图20121213114010.png

修复方案:

版权声明:转载请注明来源 暴暴@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:9

确认时间:2012-12-13 12:28

厂商回复:

仅域名在万网注册,解析和主机均不在万网,已经通知

最新状态:

暂无

漏洞评价:

评论

  1. 2013-01-12 21:59 | 子墨 ( 普通白帽子 | Rank:194 漏洞数:22 | 天地不仁,以万物为刍狗;圣人不仁,以百姓为...)

    sse.net.cn这个不是万网的域名吧,www.net.cn 这个才是万网的域名,全域名是www.www.net.cn,像百度的域名是baidu.com,全域名是www.baidu.com

  2. 2013-01-16 16:32 | 漠惘 ( 路人 | Rank:6 漏洞数:1 | 专注护妹三十年,没有高潮不要钱!)

    带 net.cn 就是万网了???洞主丢人丢大了.....

  3. 2013-01-27 12:54 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    @漠惘 54sb.net.cn(尚未注册)原价99元/年现39元/年笑而不语

  4. 2013-01-27 18:14 | YKS ( 路人 | Rank:19 漏洞数:8 | 无)

    这也有9分....