漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-052316
漏洞标题:美亚柏科可被持续APT攻击
相关厂商:300188.cn
漏洞作者: 我是一只小毛驴
提交时间:2014-03-03 15:26
修复时间:2014-04-17 15:27
公开时间:2014-04-17 15:27
漏洞类型:后台弱口令
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-03-03: 细节已通知厂商并且等待厂商处理中
2014-03-04: 厂商已经确认,细节仅向厂商公开
2014-03-14: 细节向核心白帽子及相关领域专家公开
2014-03-24: 细节向普通白帽子公开
2014-04-03: 细节向实习白帽子公开
2014-04-17: 细节向公众公开
简要描述:
今早上凌晨看到新闻习大召开中央网络安全和信息化领导小组会议。然后,无比兴奋啊。 新闻还说有几个股票大涨。其中就有美亚的。然后就随便翻翻。然后就没有然后了。 为什么自评20rank呢。因为熟悉美亚的都知道以为这什么。
详细说明:
http://xmmyzm.300188.cn/admin/login.aspx
万能密码登陆。
为什么自评危害大,主要不想再渗入。因为美亚是。好吧
简短的用文字说明以下吧。 后台拿SHELL很轻松。随便看了提权也很轻松。这是预测。
然后。就不言而语。
但是我没有。我只登陆了一下后台什么操做都没有。不信可以看日志。
美亚是全国WA的培训基地。所以我也不敢继续深入测试。如果官方允许。
这就是一个漫长的社工开始。安全不是强大的地方有多强大。
报告这个是美亚柏科的一个分站域名。确是美亚伯科的全资子公司。
所以拿下SHELL提权然后。 持续APT 这要是到坏人手中。 想必多多少少是有影响的吧。
漏洞证明:
为什么自评危害大,主要不想再渗入。因为美亚是。好吧
简短的用文字说明以下吧。 后台拿SHELL很轻松。随便看了提权也很轻松。这是预测。
然后。就不言而语。
但是我没有。我只登陆了一下后台什么操做都没有。不信可以看日志。
美亚是全国WA的培训基地。所以我也不敢继续深入测试。如果官方允许。
这就是一个漫长的社工开始。安全不是强大的地方有多强大。
报告这个是美亚柏科的一个分站域名。确是美亚伯科的全资子公司。
所以拿下SHELL提权然后。 持续APT 这要是到坏人手中。 想必多多少少是有影响的吧。
修复方案:
不要用第三方产品。你们真的是很棒的厂商。刚乌云搜索了下还没有人提交过漏洞呢。
希望有机会可以给你们测试测试其它产品。
版权声明:转载请注明来源 我是一只小毛驴@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2014-03-04 17:29
厂商回复:
感谢提交报告,我们正在解决中。
最新状态:
暂无