中國電信某雲平台上傳漏洞getshell,附贈注入及任意使用者密碼重置各一枚,水表已拆。。。
掃瞄件上傳處可post改包上傳webshell。
菜刀位址:
/uploads/users_company_img/2014092012140351498.jsp (密碼chopper)
順便附贈任意使用者密碼重置及注入各一枚:
使用sxsxw***@s***.com進行找回密碼操作,成功重置sxw0***@hotmail.com密碼為test123
搜尋框post注入(暫時無法進一步利用,但可以洩露資訊):
d:\anquan\sqlmap>sqlmap.py -u "/findproductlistbyname.act
ion" --data="softname=123" --delay=0.5
root許可權可執行命令:
竟然有nmap,方便一步滲透。。。
過濾
中國電信計畫構建安全新平台
據通訊世界網2011年5月16日 報道從網際網路整個安全形勢看,外部安全威脅依然猖獗。近幾年,傳統網路安全問題增長趨勢有所減緩,而新興領域則不斷面臨新的安全問題。在中國電信網路執行維護事業部資料處處長吳湘東看來,由於智慧型終端快速增長,基於移動網際網路或者手機終端的安全問題增長較快,而基於pc以及基...
中國電信計畫構建安全新平台
據通訊世界網2011年5月16日 報道從網際網路整個安全形勢看,外部安全威脅依然猖獗。近幾年,傳統網路安全問題增長趨勢有所減緩,而新興領域則不斷面臨新的安全問題。在中國電信網路執行維護事業部資料處處長吳湘東看來,由於智慧型終端快速增長,基於移動網際網路或者手機終端的安全問題增長較快,而基於pc以及基...
中國電信計畫構建安全新平台
據通訊世界網2011年5月16日 報道從網際網路整個安全形勢看,外部安全威脅依然猖獗。近幾年,傳統網路安全問題增長趨勢有所減緩,而新興領域則不斷面臨新的安全問題。在中國電信網路執行維護事業部資料處處長吳湘東看來,由於智慧型終端快速增長,基於移動網際網路或者手機終端的安全問題增長較快,而基於pc以及基...