当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0130091

漏洞标题:中兴某站万能密码导致getshell

相关厂商:中兴通讯股份有限公司

漏洞作者: qhwlpg

提交时间:2015-07-29 09:18

修复时间:2015-07-29 10:08

公开时间:2015-07-29 10:08

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-29: 细节已通知厂商并且等待厂商处理中
2015-07-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

http://113.98.59.170
用户名admin'or '1'='1
密码admin'or '1'='1

漏洞证明:

中兴2.png


aspcms添加模版getshell
连菜刀不行,后来提权上cmd.exe传不上去。。
穿了asp大马,有之前入侵的痕迹

中兴1.png


修复方案:

asp大马我删掉了,下线改应用aspcms还是不少洞的,用的还是较老的版本--

版权声明:转载请注明来源 qhwlpg@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-07-29 10:08

厂商回复:

首先感谢qhwlpg的提交,已经与该系统的负责人取得沟通,认为该系统不影响我司正常业务运行,谢谢~

最新状态:

暂无


漏洞评价:

评论

  1. 2015-07-29 10:58 | qhwlpg ( 普通白帽子 | Rank:226 漏洞数:54 | 潜心代码审计。)

    ...然后下线了

  2. 2015-07-29 11:39 | Seven.Sea ( 实习白帽子 | Rank:76 漏洞数:24 | 唯有安全与美食不可辜负。)

    23333默默下线

  3. 2015-08-09 16:02 | 人丑嘴不甜 ( 路人 | Rank:28 漏洞数:8 | 小菜鸟 妄想成为大大的大牛)

    无影响 你关什么服务器啊 搞笑