漏洞概要
关注数(24)
关注此漏洞
漏洞标题:中国电信某重要的系统Getshell(涉及全国全部计费结算人员联系方式)
提交时间:2016-04-25 10:00
修复时间:2016-06-12 15:00
公开时间:2016-06-12 15:00
漏洞类型:成功的入侵事件
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2016-04-25: 细节已通知厂商并且等待厂商处理中
2016-04-28: 厂商已经确认,细节仅向厂商公开
2016-05-08: 细节向核心白帽子及相关领域专家公开
2016-05-18: 细节向普通白帽子公开
2016-05-28: 细节向实习白帽子公开
2016-06-12: 细节向公众公开
简要描述:
走了一个大弯路。。。
详细说明:
中国电信全国计费结算中心
存在弱口令zhangwei/123456
在首页有一个全国通讯录,里面包含了全国计费结算人员的联系方式,以及软件供应商人员的信息
回到之前的系统,发现一些其他的信息
高额监控模块,会显示用户的手机号,以及消费金额,包括用户最近一次的通话时间
其他模块的一下信息
每天网站报错的log分析,各个平台的分析报告
漏洞证明:
getshell
得到的shell路径为下面的格式,
数据库配置
有一个一亿多的表,打开看了一下,全是手机号和SERV_ID什么的,表示不懂
在服务器上翻看的时候,看到这个系统在14年的时候已经被入侵了
服务器包含多个web应用
其他的一些敏感信息
都可以外联,下载数据,审核或者验证者可是测试
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2016-04-28 14:53
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT向中国电信集团公司通报,由其后续协调网站管理部门处置.
最新状态:
暂无
漏洞评价:
评价