漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0122064
漏洞标题:运维配置不当,敏感信息泄露源码及服务弱密码
相关厂商:浙江雄猫软件开发有限公司,
漏洞作者: 博远山人
提交时间:2015-06-25 12:11
修复时间:2015-08-09 12:12
公开时间:2015-08-09 12:12
漏洞类型:系统/服务运维配置不当
危害等级:高
自评Rank:12
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-06-25: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-08-09: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
RT
详细说明:
运维配置不当导致源码配置文件泄露,数据库弱密码,3306对外未关闭。
今天同事告诉我一个P2P厂商,顺手输入了.git目录,发现403,有搞头,
执行后拿到网站源码
发现是WP的程序,发现数据库配置文件
扫面端口后发现3306端口对外开放,连接数据库写入文件。
其实利用的办法很多,phpinfo中发现
都可以执行,剩下的大家都懂了。
其实也可以通过修改wp后台密码。在后台中进行网马写入
讲数据库中admin的密码修改为
剩下的大家可以自行发挥了。
漏洞证明:
数据库写入了上传的php文件。
友情检测。
修复方案:
删除.git目录,或者禁止访问,修改数据库密码,并且配置iptables防火墙。
版权声明:转载请注明来源 博远山人@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝