当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-051649

漏洞标题:盛大在线某分站服务器配置不当导致沦陷数

相关厂商:盛大在线

漏洞作者: YY-2012

提交时间:2014-02-21 21:48

修复时间:2014-04-07 21:49

公开时间:2014-04-07 21:49

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-02-21: 细节已通知厂商并且等待厂商处理中
2014-02-22: 厂商已经确认,细节仅向厂商公开
2014-03-04: 细节向核心白帽子及相关领域专家公开
2014-03-14: 细节向普通白帽子公开
2014-03-24: 细节向实习白帽子公开
2014-04-07: 细节向公众公开

简要描述:

年前发现的这几天才记起,呵呵提交吧。YY

详细说明:

IIS配置不当,直接put上传一句话。3389登录服务器才发现原来是盛大的站。
当时一登录服务器我就把webdav禁止了,算是防止二次入侵吧。

1 描述:榛樿缃戠珯 
主机头:
2 描述:Gplus 
主机头:Gplus.sdptest.sdo.com
3 描述:MerchantcontorlPro-NEW 
主机头:pronew.shengpay.com
4 描述:PaymentWebService 
主机头:
5 描述:test.igw.jf.sdo.com 
主机头:igwjf.sdptest.sdo.com
6 描述:OA_Service 
主机头:
7 描述:Merchantrefundnotify 
主机头:
8 描述:SJMerchantCenter 
主机头:10.132.19.18
9 描述:PayHTML5 
主机头:coupon-api.sdptest.shengpay.com 10.132.19.18
10 描述:merchantservicetestforzhongli 
主机头:
11 描述:sfbapi 
主机头:
12 描述:MerchantAPI 
主机头:
13 描述:merchantdev 
主机头:dev.mc.com
14 描述:MCS.Web 
主机头:
15 描述:SDPayWeb 
主机头:ingamepay.sdptest.sdo.com
16 描述:qpayigw 
主机头:test9qpayigw.sdo.com
17 描述:IGWPay 
主机头:newigw.pay.sdptest.sdo.com 
18 描述:movie 
主机头:
19 描述:MerchantcontorlPro 
主机头:pro.shengpay.com
20 描述:MerchantcontorlAir 
主机头:air.shengpay.com
21 描述:MerchantcontorlAir-RealName 
主机头:realair.shengpay.com
22 描述:MerchantcontorlPro-RealName 
主机头:realpro.shengpay.com
23 描述:Qpayment 
主机头:qpayment.sdptest.sdo.com
24 描述:CardWeb 
主机头:card.sdptest.sdo.com
25 描述:dianquanbao 
主机头:dianquanbao.sdo.com
26 描述:mc.shengpay.com 
主机头:mc.shengpay.com
27 描述:merchantairdev 
主机头:airdev.mc.com
28 描述:test.BigFossick.jf.sdo.com 
主机头:BigFossickjf.sdptest.sdo.com
29 描述:OA_PayInterfaceWeb 
主机头:oa.sdptest.sdo.com
30 描述:test.appigw.jf.sdo.com 
主机头:appigwjf.sdptest.sdo.com
31 描述:qidian 
主机头:10.132.19.18www.sdptest.qidian.com www.sdptest.qidian.com
32 描述:netpay 
主机头:netpay.sdptest.sdo.com netpay1.sdptest.sdo.com
33 描述:easypay.service 
主机头:settle.netpay.sdptest.sdo.com 
34 描述:pay-sft 
主机头:pay1.sdptest.sdo.com
35 描述:supportweb 
主机头:supportwebjf.sdptest.sdo.com
36 描述:TestFilePro 
主机头:10.132.19.18
37 描述:BuyWeb 
主机头:buyweb.sdptest.sdo.com
38 描述:html5test 
主机头:
39 描述:webqidian 
主机头:
40 描述:test.Gameweb.jf.sdo.com 
主机头:Gamewebjf.sdptest.sdo.com
41 描述:WhiteList 
主机头:userlib.direct.sdptest.sdo.com
42 描述:MerchantService 
主机头:10.132.19.18pro.shengpay.com
43 描述:ChannelBCPAdmin 
主机头:qudaoadmin.sdptest.sdo.com
44 描述:IGWWebPayGPlus 
主机头:10.132.19.18newigw.pay.sdptest.sdo.com
45 描述:zhuanye 
主机头:zhuanye.sdptest.shengpay.com
46 描述:CheckBilling 
主机头:
47 描述:test.jf.sdo.com 
主机头:jf.sdptest.sdo.com www.sdptest.minishua.com jftest.sdo.com jftest.shengpay.com
48 描述:ChannelBCPWeb 
主机头:qudao.sdptest.sdo.com
49 描述:Log 
主机头:
50 描述:logs 
主机头:10.132.19.18log.shengpay.com
51 描述:Pay 
主机头:pay.sdptest.sdo.com 
52 描述:qpay 
主机头:qpay.sdptest.sdo.com test9qpay.sdo.com
53 描述:test.ibwguide.jf.sdo.com 
主机头:ibwguidejf.sdptest.sdo.com
54 描述:sft 
主机头:www.sdptest.shengpay.com
55 描述:test.hz.jf.sdo.com 
主机头:hzjf.sdptest.sdo.com


漏洞证明:

11111111111111111111111.jpg


TM截图20140221210236.jpg

修复方案:

你懂的。

版权声明:转载请注明来源 YY-2012@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-02-22 11:33

厂商回复:

谢谢报告,正在紧急修复。

最新状态:

暂无