当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-054436

漏洞标题:精品教学网后台弱口令

相关厂商:精品教学网

漏洞作者: jian

提交时间:2014-03-24 11:12

修复时间:2014-05-08 11:12

公开时间:2014-05-08 11:12

漏洞类型:后台弱口令

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-03-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-05-08: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

详细说明:

今天本来想找点学习资料学习的 在找资料时发现了这个网站http://www.jiuyini.com/ 但一不小心 习惯性的在网站后面输入了admin888 结果真的存在后台 人品啊 然后果断试了下弱口令 结果admin 密码 admin888 认证码 itvb 进去了 不得不说PR啊
不多说 直接正题了
进后台 找上传 我这就找了文章管理

1.jpg


试了下上传ASP

2.jpg


结果还真的传上去了
这里看不到图片的路径 但这不能防止我们 哈哈 找路径的方法很多 我就不说了 可以到前台找 这里我们可以直接到高级工具然后选图片数据管理找

3.jpg


这是我刚刚上传的 还可以执行SQL命令拿SHELL 其他他的就不能说了 就到这吧

漏洞证明:

1.jpg

2.jpg

3.jpg

修复方案:

过滤

版权声明:转载请注明来源 jian@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝