当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-025934

漏洞标题:admin5.com成功入侵。

相关厂商:A5站长网

漏洞作者: 鬼哥

提交时间:2013-06-14 15:04

修复时间:2013-07-29 15:04

公开时间:2013-07-29 15:04

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-06-14: 细节已通知厂商并且等待厂商处理中
2013-06-14: 厂商已经确认,细节仅向厂商公开
2013-06-24: 细节向核心白帽子及相关领域专家公开
2013-07-04: 细节向普通白帽子公开
2013-07-14: 细节向实习白帽子公开
2013-07-29: 细节向公众公开

简要描述:

admin5.com成功入侵。

详细说明:

由于测试,发现admin5.com主站存在dedecms5.7 漏洞,
针对该漏洞补丁,“ 20130607常规安全更新” 由于admin5没有更新此补丁,导致漏洞还存在。
通过漏洞检测工具,成功利用该漏洞,成功拿到了webshell.

.JPG

漏洞证明:

拿到webshell菜刀连接.

fffffffffa.JPG

修复方案:

快去打补丁吧,要不然肯定被秒杀。万人捅。。利用到此,完毕。未做任何破坏。希望快修复。

版权声明:转载请注明来源 鬼哥@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-06-14 15:42

厂商回复:

谢谢您的提交

最新状态:

暂无

漏洞评价:

评论

  1. 2013-06-14 15:21 | Aepl│恋爱 ( 实习白帽子 | Rank:45 漏洞数:15 | Forzen恋爱-不要做你的Guest 只想做的你adm...)

    坐等求裤~

  2. 2013-06-14 15:23 | cmdshell ( 实习白帽子 | Rank:40 漏洞数:9 )

    坐等围观

  3. 2013-06-14 15:30 | D_r0ck ( 实习白帽子 | Rank:36 漏洞数:3 | 可能是最帅的歌~)

    鬼哥V5

  4. 2013-06-14 15:42 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

    a5主站是织梦

  5. 2013-06-14 15:43 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    又是dedecms。。

  6. 2013-06-14 15:55 | 念念不忘 ( 路人 | Rank:5 漏洞数:2 | 求基友)

    鬼哥V5

  7. 2013-06-14 16:19 | 鬼哥 ( 普通白帽子 | Rank:136 漏洞数:13 | 鬼哥 !!!!)

    本文用到的漏洞测试工具:https://forum.90sec.org/viewthread.php?tid=6026

  8. 2013-06-14 17:15 | 小鸡鸡 ( 实习白帽子 | Rank:40 漏洞数:10 )

    @鬼哥 这个工具和你发的exp有什么区别吗 求解释

  9. 2013-06-14 19:28 | 鬼哥 ( 普通白帽子 | Rank:136 漏洞数:13 | 鬼哥 !!!!)

    @小鸡鸡 更多突破,成功率更高!

  10. 2013-06-14 19:53 | 小鸡鸡 ( 实习白帽子 | Rank:40 漏洞数:10 )

    @鬼哥 怎么改shell密码呢

  11. 2013-06-14 20:34 | 鬼哥 ( 普通白帽子 | Rank:136 漏洞数:13 | 鬼哥 !!!!)

    @小鸡鸡 无语。。工具上可以设置呀。

  12. 2013-06-14 21:12 | 小鸡鸡 ( 实习白帽子 | Rank:40 漏洞数:10 )

    @鬼哥 擦我意思是已经用那个拿到shell 修改mytag_js.php名字 shell一样还能链接 怎么修改这里的密码

  13. 2013-06-14 22:00 | Sct7p ( 实习白帽子 | Rank:62 漏洞数:9 | 懂与不懂之间只隔了一层纸,懂的人会觉得很...)

    @鬼哥 没90sec邀请码啊,求工具

  14. 2013-06-21 14:34 | A5站长网(乌云厂商)

    @鬼哥 给个邀请码 谢谢

  15. 2013-06-22 18:14 | 鬼哥 ( 普通白帽子 | Rank:136 漏洞数:13 | 鬼哥 !!!!)

    @A5站长网 90sec.org进去要发技术文章的,如果只想进去看看就没必要。不知道你们上班的 有技术文章发么?

  16. 2013-07-15 18:49 | hackmx ( 路人 | Rank:2 漏洞数:1 | 没有介绍丶)

    @鬼哥 鬼哥,没邀请码啊?求工具

  17. 2013-07-16 23:56 | 自由与精神 ( 路人 | Rank:30 漏洞数:5 | 缺乏精神力量,但我向往自由)

    @鬼哥 求个激活码 有账号 但是不知道 为什么要激活了

  18. 2013-07-17 15:43 | A5站长网(乌云厂商)

    @鬼哥 有的 可以学习发一下

  19. 2013-07-30 22:03 | 职业色羊 ( 路人 | Rank:10 漏洞数:2 | 无)

    求裤子。。。

  20. 2013-08-21 20:26 | 军哥哥 ( 路人 | Rank:5 漏洞数:2 | 艹艹艹艹)

    擦你又发现了dedecms的漏洞了吧导致现在网络上都是90sec.php

  21. 2015-02-01 04:44 | Winck ( 路人 | Rank:8 漏洞数:2 | http://weibo.com/hackwinck hackwinck By...)

    @鬼哥 求个邀请码 我有文章可以发