当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-085848

漏洞标题:安泰伟奥房金融管理专家平台存在弱口令,可导致服务器沦陷

相关厂商:北京安泰伟奥信息技术有限公司

漏洞作者: Blunber

提交时间:2014-12-04 17:58

修复时间:2015-01-18 18:00

公开时间:2015-01-18 18:00

漏洞类型:服务弱口令

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-04: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-01-18: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

多渠道数据交换平台存在弱口令,口令虽弱,但是后台功能很强大,能导致什么,厂商应该比我清楚。

详细说明:

官网:http://www.atwasoft.com/
存在8080端口:http://www.atwasoft.com:8080/monitor/extview/
账号密码均是admin,admin

漏洞证明:

登陆界面:

登陆界面.jpg


交易查询列表:

交易查询列表.jpg


查询交易明细:

交易明细.jpg


查询数据库:

数据库查询.jpg


功能很强大,直接执行命令了!

命令执行.jpg


另外还发现存在目录遍历:

目录遍历列表.jpg


应该全是交易日志列表:

目录遍历2.png


交易日志明细(有的涉及金额):

目录遍历3.jpg

修复方案:

一个弱口令引发的血案,令我也是醉了。

版权声明:转载请注明来源 Blunber@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝