淘宝某分站getshell | wooyun-2014-070007| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-070007

漏洞标题：淘宝某分站getshell

漏洞作者：路人甲

提交时间：2014-07-28 15:05

修复时间：2014-09-27 18:30

公开时间：2014-09-27 18:30

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-07-28：该漏洞正等待厂商内部评估
2014-07-29：厂商已经确认，与白帽子共同解决该漏洞中，漏洞信息仅向厂商公开
2014-08-18：细节向核心白帽子及相关领域专家公开
2014-08-28：细节向普通白帽子公开
2014-09-07：细节向实习白帽子公开
2014-09-27：细节向公众公开

简要描述：

过滤不严导致getshell

详细说明：

http://t***.taobao.comhttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/201407/0bda13c09fa040256add00fe3377ec6d.php?

不多说自己看
用safe3一扫一大堆上传点

漏洞证明：

http://***.taobao.comhttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/201407/0bda13c09fa040256add00fe3377ec6d.php?
不多说自己看

修复方案：

自己想喽

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-07-29 18:28

厂商回复：

漏洞已确认真实存在，并已安排人处理。

漏洞评价：

2014-07-28 15:08 | 浩天 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

@@!
2014-09-27 18:45 | 小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )

@浩天我记得上次群里有人放截图的吧
2014-09-27 20:16 | ki11y0u ( 普通白帽子 | Rank:104 漏洞数:23 | 好好学习，求带飞~~~~~~~~~~~~~~~~~~~~~~...)

不是3个$么，怎么进来没有了。BUG么
2014-09-27 20:43 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云，知恩不忘，其实我一直都在乌云默...)

@ki11y0u 原来是你提交的
2014-09-27 21:01 | ki11y0u ( 普通白帽子 | Rank:104 漏洞数:23 | 好好学习，求带飞~~~~~~~~~~~~~~~~~~~~~~...)

@U神大牛，你看我像么。
2014-09-27 21:25 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

@xsser 这个钱是由乌云给？
2014-09-28 00:38 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚，关注互联网安全)

NB!
2014-09-28 09:27 | 啊L川 ( 普通白帽子 | Rank:195 漏洞数:39 | 菜鸟，菜渣，菜呀！)

用safe3一扫一大堆上传点大神你的是需要正版授权么
2014-09-28 10:29 | S4M ( 路人 | Rank:20 漏洞数:8 | 吴彦祖)

safe3软文鉴定完毕
2014-09-28 15:25 | chopper ( 普通白帽子 | Rank:144 漏洞数:29 | 菜鸟求学，多多关照~)

其实我想问这个马赛克是乌云打的还是作者打的，要是作者的话，审核还要私信下作者？
2014-09-30 11:07 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

@chopper 你吧这个地方想得太认真了
2014-09-30 13:27 | chopper ( 普通白帽子 | Rank:144 漏洞数:29 | 菜鸟求学，多多关照~)

@冷静我知道这个不是重点，哈哈。只是好奇

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-070007

漏洞标题：淘宝某分站getshell

相关厂商：淘宝网

漏洞作者：路人甲

提交时间：2014-07-28 15:05

修复时间：2014-09-27 18:30

公开时间：2014-09-27 18:30

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-070007

漏洞标题：淘宝某分站getshell

相关厂商：淘宝网

漏洞作者： 路人甲

提交时间：2014-07-28 15:05

修复时间：2014-09-27 18:30

公开时间：2014-09-27 18:30

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-070007"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云