当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0118073

漏洞标题:百为流控源码泄露之沦陷全站

相关厂商:bytevalue.com

漏洞作者: M4sk

提交时间:2015-06-03 22:47

修复时间:2015-07-19 12:26

公开时间:2015-07-19 12:26

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-03: 细节已通知厂商并且等待厂商处理中
2015-06-04: 厂商已经确认,细节仅向厂商公开
2015-06-14: 细节向核心白帽子及相关领域专家公开
2015-06-24: 细节向普通白帽子公开
2015-07-04: 细节向实习白帽子公开
2015-07-19: 细节向公众公开

简要描述:

一程序员去面试,面试官说:你毕业才两年,这三年经验是哪来的。程序员说:加班。

详细说明:

首先是一处源码备份下载:http://member.bytevalue.com/bytevalue.tar.gz
整站源码哦 你懂得~ 然后找到数据库配置文件

11.png


phpmyadmin 外网可以访问~
http://58.216.10.38/phpmyadmin/
直接登录之~

22.png


找到个ftpuser 数据库 也就是ftp的账号咯~
直接FTP连接之~

33.png


然后这里的
http://www.bytevalue.com/bvos/
下载包可以替换哦 你懂得~
附送几个小漏洞:
phpinfo:
http://58.216.10.38/phpinfo.php
flash安全配置:
http://member.bytevalue.com/crossdomain.xml
探针:
http://58.216.10.38/p.php
phpcms V9 authkey print:
http://member.bytevalue.com/phpsso_server/index.php?m=phpsso&c=index&a=getapplist&auth_data=v=1&appid=1&data=11

漏洞证明:

综上

修复方案:

删除备份源码 以及修改相关密码 = = 网站漏洞太多

版权声明:转载请注明来源 M4sk@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-06-04 12:25

厂商回复:

感谢@M4sk同学,网站备份文件没有删除导致重要信息泄露,影响整局!以后会多加注意。

最新状态:

暂无