漏洞概要
关注数(24)
关注此漏洞
漏洞标题:中国联通很重要站点Getshell影响亿级用户
提交时间:2015-05-17 16:38
修复时间:2015-07-05 17:30
公开时间:2015-07-05 17:30
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2015-05-17: 细节已通知厂商并且等待厂商处理中
2015-05-21: 厂商已经确认,细节仅向厂商公开
2015-05-31: 细节向核心白帽子及相关领域专家公开
2015-06-10: 细节向普通白帽子公开
2015-06-20: 细节向实习白帽子公开
2015-07-05: 细节向公众公开
简要描述:
中国联通某重要站点getshell影响亿级用户,应该影响所有用户吧
冲着影响用户量,审核大大来个闪电劈下我吧
详细说明:
这是个意外.....
好久没登入wo.cn邮箱,今天登入看看,提示改版了,一不小心点到了通行证首页
然后发现有个上传的地方,抓包上传替换jsp一句话getshell
具体影响有多大你们自己评估吧 (个人认为影响全部用户包括邮箱),本这测试的心态也没去神挖
http://i.wo.cn/wooyun.txt
漏洞证明:
修复方案:
/share/wo/ROOT/imageStorePath/ 麻烦修补的时候这个目录里的5.17上传的测试.jsp文件删除下
应该是太多文件了菜刀打开很卡就没去删除了
版权声明:转载请注明来源 百变屌丝@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:7
确认时间:2015-05-21 17:29
厂商回复:
CNVD确认所述情况,已经转由CNCERT向中国联通集团公司通报,由其后续协调网站管理部门处置.
最新状态:
暂无
漏洞评价:
评论
-
2015-05-17 16:38 |
浩天 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)
-
2015-05-17 16:41 |
毕月乌 ( 普通白帽子 | Rank:120 漏洞数:16 | 猜猜我是谁?)
-
2015-05-17 16:42 |
浩天 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)
-
2015-05-17 16:42 |
啊L川 ( 普通白帽子 | Rank:195 漏洞数:39 | 菜鸟 ,菜渣, 菜呀!)
-
2015-05-17 16:42 |
玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )
-
2015-05-17 16:42 |
子非海绵宝宝 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)
-
2015-05-17 16:44 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)
-
2015-05-17 16:49 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)
刚一想,擦,我用的就是联通卡。。 今晚换移动的。。。联通真的是又卡又不安全。。
-
2015-05-17 16:50 |
百变屌丝 ( 实习白帽子 | Rank:59 漏洞数:7 | 屌丝一个而且是百变的,临时工)
@浩天 其他几个洞洞也帮审核下吧 有的都快二十天了 ~0~ ~0~@其他牛 这是个意外
-
2015-05-17 16:50 |
( 路人 | Rank:17 漏洞数:4 | -->)
-
2015-05-17 16:53 |
90Snake ( 普通白帽子 | Rank:109 漏洞数:42 | 最大的漏洞就是人)
-
2015-05-17 16:55 |
小豹 ( 实习白帽子 | Rank:33 漏洞数:8 | 一个人的寂寞,整个群的错234236)
-
2015-05-17 16:59 |
scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)
-
2015-05-17 17:00 |
咸鱼翻身 ( 普通白帽子 | Rank:576 漏洞数:108 )
╭( ′• o •′ )╭☞警察叔叔!就是这个人!
-
2015-05-17 17:01 |
泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)
-
2015-05-17 17:11 |
刘海哥 ( 普通白帽子 | Rank:114 漏洞数:28 | 索要联系方式但不送礼物的厂商定义为无良厂...)
-
2015-05-17 17:27 |
管管侠 ( 核心白帽子 | Rank:1368 漏洞数:108 | 休息几日,让你们先装会!!!)
-
2015-05-17 17:45 |
sin ( 实习白帽子 | Rank:38 漏洞数:2 | 寻找最优雅的解决方案)
-
2015-05-17 17:57 |
M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)
-
2015-05-17 18:31 |
小胖子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)
-
2015-05-17 18:41 |
Mas ( 实习白帽子 | Rank:42 漏洞数:15 )
-
2015-05-17 18:55 |
Vinc ( 普通白帽子 | Rank:120 漏洞数:22 | :))
-
2015-05-17 19:08 |
职业色羊 ( 路人 | Rank:10 漏洞数:2 | 无)
-
2015-05-17 19:14 |
’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)
-
2015-05-17 19:26 |
ByL ( 路人 | Rank:10 漏洞数:3 | 早起的虫儿被鸟吃!)
-
2015-05-17 20:07 |
Mr.R ( 实习白帽子 | Rank:52 漏洞数:14 | 求大神带我飞 qq2584110147)
-
2015-05-17 20:09 |
an0nym0u5 ( 普通白帽子 | Rank:172 漏洞数:31 )
-
2015-05-17 20:55 |
孤独行者 ( 普通白帽子 | Rank:110 漏洞数:44 | 时光如水,总是无言。你若安好,便是晴天)
@浩天 http://www.wooyun.org/bugs/wooyun-2015-0111349/trace/1b582b56ad7869fb053cf513d9735436 求审核。
-
2015-05-17 21:22 |
F0rm ( 路人 | Rank:0 漏洞数:2 | )
-
2015-05-17 21:28 |
Blcat ( 路人 | Rank:6 漏洞数:2 | 家穷人丑 一米四九 小学文化 农村户口 破屋...)
-
2015-05-17 22:26 |
hackyandi ( 普通白帽子 | Rank:111 漏洞数:16 | 一个没有梦想的人)
-
2015-05-17 23:10 |
hh2014 ( 普通白帽子 | Rank:225 漏洞数:39 | 继续)
@浩天 http://www.wooyun.org/bugs/wooyun-2015-0112157/trace/5d04514bbaec51afeb28f82a632f4b3e 求审核
-
2015-05-17 23:32 |
金枪银矛小霸王 ( 普通白帽子 | Rank:103 漏洞数:25 | 不会挖洞洞的猿猿不是好学生)
-
2015-05-18 00:33 |
客官不可以 ( 路人 | Rank:2 漏洞数:3 | 圈里圈外)
-
2015-05-18 08:39 |
Taro ( 普通白帽子 | Rank:178 漏洞数:48 | 走向最远的方向,哪怕前路迷茫;抱着最大的...)
-
2015-05-18 08:40 |
奋斗的阿呆 ( 普通白帽子 | Rank:138 漏洞数:30 | 一二三,不许动!)
-
2015-05-18 08:43 |
这只猪 ( 路人 | Rank:5 漏洞数:2 | 南无阿弥陀佛!)
-
2015-05-18 09:04 |
百变屌丝 ( 实习白帽子 | Rank:59 漏洞数:7 | 屌丝一个而且是百变的,临时工)
-
2015-05-18 09:38 |
superbing ( 普通白帽子 | Rank:174 漏洞数:29 | 常羡古时儿女怀,嘻戏千山好自在。)
-
2015-05-21 18:08 |
冰麒麟 ( 路人 | Rank:0 漏洞数:2 | 就算是男孩子,只要可爱就没问题了.)
-
2015-05-21 18:33 |
Mr.R ( 实习白帽子 | Rank:52 漏洞数:14 | 求大神带我飞 qq2584110147)
-
2015-05-21 18:53 |
机器猫 ( 普通白帽子 | Rank:1141 漏洞数:253 | 爱生活、爱腾讯、爱网络!)
-
2015-05-21 19:18 |
dsiden ( 实习白帽子 | Rank:41 漏洞数:10 )
-
2015-05-21 19:20 |
pikachu ( 实习白帽子 | Rank:48 漏洞数:6 | wooyun)
-
2015-05-21 19:21 |
百变屌丝 ( 实习白帽子 | Rank:59 漏洞数:7 | 屌丝一个而且是百变的,临时工)
@机器猫 @Mr.R 应该是没什么技术含量吧 不过插的时候也捣鼓了一翻
-
2015-05-21 21:07 |
xiaogui ( 实习白帽子 | Rank:88 漏洞数:24 | 围观大牛来了~~~)