漏洞概要
关注数(24)
关注此漏洞
漏洞标题:乐视网某站Getshell影响企业及行业用户
提交时间:2014-01-08 15:29
修复时间:2014-02-22 15:30
公开时间:2014-02-22 15:30
漏洞类型:成功的入侵事件
危害等级:高
自评Rank:12
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2014-01-08: 细节已通知厂商并且等待厂商处理中
2014-01-08: 厂商已经确认,细节仅向厂商公开
2014-01-18: 细节向核心白帽子及相关领域专家公开
2014-01-28: 细节向普通白帽子公开
2014-02-07: 细节向实习白帽子公开
2014-02-22: 细节向公众公开
简要描述:
乐视网某站Getshell影响企业及行业终端用户,小权限的逆袭!
详细说明:
企业电视和金融行业
尝试了一个某一测试账号,发现权限非常的有限,但是,在两个入口
tv 和msg 权限还是有点差别,msg看的东西更多一些,但是其实无关紧要,这里不说账号的问题。
测试账号艰难进入系统内部,顺便贴几个图片吧,证明一下
目录
直播控制,http://yuntv.letv.com/域名下的视频耐
设备控制
查看了其中一台设备被推送的内容:
这些jpg是可以自己控制上传的……1200+的设备在线~
可编辑工作区视频列表
其他就算了
漏洞证明:
文件上传getshell
可控制应用升级
还是Letv?
我天
修复方案:
版权声明:转载请注明来源 zzR@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:18
确认时间:2014-01-08 15:42
厂商回复:
感谢挖掘,我们尽快修复!
最新状态:
暂无
漏洞评价:
评论
-
2014-01-08 15:52 |
niliu ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)
-
2014-01-08 15:57 |
zzR ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])
-
2014-01-08 16:09 |
niliu ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)
-
2014-01-08 16:53 |
wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)
-
2014-01-08 18:23 |
3King ( 普通白帽子 | Rank:1129 漏洞数:92 | 【study at HNUST】非常感谢大家的关注~ 大...)
-
2014-01-08 20:16 |
zzR ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])
-
2014-01-08 21:04 |
3King ( 普通白帽子 | Rank:1129 漏洞数:92 | 【study at HNUST】非常感谢大家的关注~ 大...)
@zzR 如果撞到了也没关系 我这里还有一大把... 欢迎挖~
-
2014-01-08 21:11 |
niliu ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)
-
2014-01-08 21:27 |
3King ( 普通白帽子 | Rank:1129 漏洞数:92 | 【study at HNUST】非常感谢大家的关注~ 大...)
@niliu 渗透主体项目已经完成,正在整理相关资料和截图,这几天考试,考完后整理成渗透报告提交给乐视公司,就可以发到乌云的说~
-
2014-01-08 21:31 |
niliu ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)
@3King 嗯,先忙考试吧,期待渗透测试报告的说~