当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0101487

漏洞标题:一步步沦陷我很懒整站(维护你真的很懒!)

相关厂商:我很懒果汁

漏洞作者: Xser

提交时间:2015-03-15 14:05

修复时间:2015-04-29 14:06

公开时间:2015-04-29 14:06

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-15: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-04-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

我很懒 商标是上海懒果餐饮企业管理有限公司旗下注册商标,公司成立于2009年4月,扎根于上海,已服务上海数十万白领消费者,目前店面已覆盖区域:上海、江苏、浙江、山东、湖南、湖北、广东
2014年即将进入区域:四川、广西、陕西、河南、安徽、福建 我们的目标是将100%纯鲜榨果汁的健康理念带入中国二三线城市,我们售卖的不是果汁,而是健康、时尚、新鲜的用户体验。
管理员真的很懒很懒--

详细说明:

从论坛入手,看到是dz x 2.0
于是试试uc吧!结果弱口令(admin)
成功进去!

QQ截图20150315131514.jpg


然后找到uckey,用uckey获得shell

QQ截图20150315131615.jpg


进去配置文件登录数据库找管理密码

QQ截图20150315131607.jpg


然后成功进入后台

20150315131334.png

漏洞证明:

从论坛入手,看到是dz x 2.0
于是试试uc吧!结果弱口令(admin)
成功进去!

QQ截图20150315131514.jpg


然后找到uckey,用uckey获得shell

QQ截图20150315131615.jpg


进去配置文件登录数据库找管理密码

QQ截图20150315131607.jpg


然后成功进入后台

20150315131334.png

修复方案:

版权声明:转载请注明来源 Xser@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)


漏洞评价:

评论

  1. 2015-03-15 22:23 | 大漠長河 ( 实习白帽子 | Rank:43 漏洞数:7 | ̷̸̨̀͒̏̃ͦ̈́̾( 天龙源景区欢迎您...)

    对餐饮企业要求也太高了吧 楼主 看来是个极好的反面教材等公开

  2. 2015-03-18 18:35 | by阿明 ( 路人 | Rank:25 漏洞数:9 | 孤独与寂寞是我的必修课)

    基友好久不见