漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-080511
漏洞标题:汇成企业建站CMS系统数据库下载可批量getshell
相关厂商:汇成
漏洞作者: 小骇
提交时间:2014-10-24 13:50
修复时间:2015-01-22 13:52
公开时间:2015-01-22 13:52
漏洞类型:任意文件遍历/下载
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-10-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-01-22: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
.....
详细说明:
关键字:版权所有@2003-2020汇成企业建站CMS系统
默认后台地址:/admin/login.asp
默认数据库地址:/Databases/huicheng.mdb
可通过数据库的用户和密码,进入后台,再通过备份拿shell。
谷歌搜索得到大量网站:
漏洞证明:
以下为搜集的网站,均可下载数据库,
http://www.zzyhdz.cn/Databases/huicheng.mdb
http://www.qiseng.com//Databases/huicheng.mdb
http://www.gltianxin.com//Databases/huicheng.mdb
http://www.hibewin.com//Databases/huicheng.mdb
http://forouchi.com/bojingji//Databases/huicheng.mdb
http://www.518yihe.com//Databases/huicheng.mdb
http://www.hxytech.com/yfzxwz//Databases/huicheng.mdb
http://forouchi.com/bojingji//Databases/huicheng.mdb
http://mashkaiyi.com//Databases/huicheng.mdb
http://www.cqzhansheng.com//Databases/huicheng.mdb
http://www.qy1987.com//Databases/huicheng.mdb
http://www.mljxgs.com/Databases/huicheng.mdb
http://www.zhihengjc.com/Databases/huicheng.mdb
http://www.defhb.com//Databases/huicheng.mdb
http://www.qiseng.cn//Databases/huicheng.mdb
http://www.bjzxckm.com//Databases/huicheng.mdb
http://lyjzjx.com/web8//Databases/huicheng.mdb
http://www.wsdfj.cn/Databases/huicheng.mdb
http://www.tianyiqg.com/Databases/huicheng.mdb
http://chungsingmold.com//Databases/huicheng.mdb
以下以这个网站为例,截图证明:
http://www.zzyhdz.cn/Databases/huicheng.mdb
修复方案:
防下载吧
版权声明:转载请注明来源 小骇@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝