当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-017139

漏洞标题:中国乔丹官网存在严重漏洞可直接控制服务器

相关厂商:中国乔丹

漏洞作者: 半世倾尘

提交时间:2013-01-14 18:00

修复时间:2013-02-28 18:01

公开时间:2013-02-28 18:01

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-01-14: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-02-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

进入
http://www.qiaodan.com/fckeditor/editor/fckeditor.html
直接上传合成后的一句话图片马
得到地址
http://www.qiaodan.com/upload_files/media/xxxxx.jpg
然后查看网站系统

QQ截图20130109195535.png


IIS7.5
然后直接在图片后加 /shell.php
http://www.qiaodan.com/upload_files/media/xxxxx.jpg/shell.php
直接拿下shell
还有就是你们的后台地址太暴漏了。。
改下吧

漏洞证明:

5.png

修复方案:

你猜~ 猜对了我就告诉你
另外求AJ阿 屌丝买不起

版权声明:转载请注明来源 半世倾尘@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论

  1. 2013-02-27 19:15 | 半世倾尘 ( 路人 | Rank:29 漏洞数:8 | 努力)

    为毛没人领

  2. 2013-02-28 18:04 | Joker ( 实习白帽子 | Rank:44 漏洞数:6 | while(age++) { make(rmb); if (outOf(...)

    乔丹不是把中国乔丹给告了么?

  3. 2013-02-28 20:15 | 半世倾尘 ( 路人 | Rank:29 漏洞数:8 | 努力)

    @Joker 不知道..

  4. 2013-02-28 20:23 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @半世倾尘 你就是那个16岁的娃?

  5. 2013-03-01 17:37 | 半世倾尘 ( 路人 | Rank:29 漏洞数:8 | 努力)

    @小胖胖要减肥 现在17了 - - 97的

  6. 2013-03-01 18:54 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @半世倾尘 这个洞你也敢发啊 网站首页都被搞挂了 以后点到为止就行了

  7. 2013-03-01 19:55 | 冉冉升起 ( 路人 | Rank:12 漏洞数:6 | ...)

    @半世倾尘 不应该是奔17应该啊,应该是奔16,97年滴! 乔丹....好多黑客!

  8. 2013-03-01 21:56 | 半世倾尘 ( 路人 | Rank:29 漏洞数:8 | 努力)

    @小胖胖要减肥 嗯 谢胖哥

  9. 2013-04-11 15:19 | iiiiiiiii ( 普通白帽子 | Rank:680 漏洞数:89 | )

    这不科学啊 你97的都17了 我96的怎么才16? @半世倾尘

  10. 2013-04-12 18:37 | 半世倾尘 ( 路人 | Rank:29 漏洞数:8 | 努力)

    @iiiiiiiii 虚岁 OK?