当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-036928

漏洞标题:北京国电通网络技术有限公司XAMPP漏洞利用

相关厂商:国家电网公司

漏洞作者: ahnhhh

提交时间:2013-09-13 14:29

修复时间:2013-10-28 14:30

公开时间:2013-10-28 14:30

漏洞类型:系统/服务运维配置不当

危害等级:低

自评Rank:3

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-09-13: 细节已通知厂商并且等待厂商处理中
2013-09-13: 厂商已经确认,细节仅向厂商公开
2013-09-23: 细节向核心白帽子及相关领域专家公开
2013-10-03: 细节向普通白帽子公开
2013-10-13: 细节向实习白帽子公开
2013-10-28: 细节向公众公开

简要描述:

其官方网站存在XAMPP 上传漏洞,可读写服务硬盘数据。可以完成shell提权.系统危害大。

详细说明:

北京国电通网络有限公司(简称“国电通公司”),成立于2001年,2011年经重组整合,成为包含中电飞华通信股份有限公司一家控股公司,深圳市国电科技通信有限公司和北京汇通金财信息科技有限公司两家全资子公司的企业。2012年,根据国家电网公司科研产业单位重组整合安排,成为国网电科院直属产业公司。
其官方网站存在XAMPP 上传漏洞,可读写服务硬盘数据。
http://guodiantong.sgepri.sgcc.com.cn

漏洞证明:

北京国电通网络有限公司(简称“国电通公司”),成立于2001年,2011年经重组整合,成为包含中电飞华通信股份有限公司一家控股公司,深圳市国电科技通信有限公司和北京汇通金财信息科技有限公司两家全资子公司的企业。2012年,根据国家电网公司科研产业单位重组整合安排,成为国网电科院直属产业公司。
其官方网站存在XAMPP 上传漏洞,可读写服务硬盘数据。
http://guodiantong.sgepri.sgcc.com.cn
http://guodiantong.sgepri.sgcc.com.cn/webdav/c.php

fh.jpg

修复方案:

程序员懂得。

版权声明:转载请注明来源 ahnhhh@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2013-09-13 16:54

厂商回复:

正在紧急处置,马是你挂的么?

最新状态:

暂无


漏洞评价:

评论

  1. 2013-09-13 17:10 | ahnhhh ( 路人 | Rank:5 漏洞数:1 | 你在乌云这么吊,你家人知道么?)

    从一开始就不应该草草了事用XAMPP. 马不是我挂的, 谁知道有多少人进去提过数据了。

  2. 2013-09-16 09:58 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    哈哈,马是你挂的吗

  3. 2013-10-14 14:56 | 风之传说 ( 普通白帽子 | Rank:138 漏洞数:28 | 借用朋友的一句话,你的时间在哪里,你的成...)

    哈哈,马是你挂的吗

  4. 2013-10-14 17:10 | ckaexn ( 路人 | Rank:17 漏洞数:2 | ~)

    哇,使用rMBP,牛X

  5. 2013-10-29 19:15 | samness ( 路人 | Rank:27 漏洞数:8 | 春天来了,把媳妇种在地上。到秋天能收获好...)

    这厂商。弱智的提问。

  6. 2015-05-14 08:59 | j2ck3r ( 普通白帽子 | Rank:406 漏洞数:92 | 别关注我,跟你不熟。)

    XAMPP 上传漏洞怎么利用