当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0110161

漏洞标题:TNT中国某社区平台配置不当导致getshell

相关厂商:TNT中国

漏洞作者: 路人甲

提交时间:2015-05-05 15:01

修复时间:2015-06-19 15:02

公开时间:2015-06-19 15:02

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-05: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-06-19: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

配置不当导致getshell

详细说明:

什么是橙色聚乐部?
橙色聚乐部是TNT中国为其客户打造的一个网上社区平台。在这里,我们的客户通过使用TNT国际快递服务而获得积分。这些积分可以兑换成礼品,也可以用于抵扣运费。同时,通过橙色聚乐部,会员将第一时间获悉TNT中国最新的促销信息和活动新闻,并能随时与我们进行互动交流。
橙色聚乐部和TNT中国是什么关系?
橙色聚乐部隶属于TNT中国,它只是面对TNT中国区客户积分换礼的网上社区俱乐部,有关TNT中国相关的服务和需求,请登录TNT中国网站http://www.tnt.com.cn/

目标地址:
欢迎光临橙色聚乐部-TNT
http://211.152.44.18:8080/coms/COwebsite/changeLocale.do

QQ截图20150424164245.jpg


问题:jboss配置不当,导致getshell

QQ截图20150424164659.jpg

漏洞证明:

通过部署war拿下shell
一句话地址:http://211.152.44.18:8080/chopper/chopper.jsp
密码:pandas

QQ截图20150424164708.jpg


QQ截图20150424164727.jpg


QQ截图20150424165036.jpg


QQ截图20150424165123.jpg


修复方案:

关闭3306 , 正确配置jboss

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝