WooYun.org

1. 延边州社保查询系统的ip进行端口扫描，发现其中7001端口 使用weblogic 并存在弱口令
weblogic weblogic1
http://124.234.102.6:7001/console/
当然这是之前的信息...再一次发现管理员已经升级weblogic版本 并修改了账号
但是为何连之前的shell都没干掉还一并备份部署到了信息的系统上面？？
新的账号密码依旧不安全：weblogic weblogic@ybserver

2. shell： http://124.234.102.6:7001/jmxroot/jmxroot.jsp 360butian
从时间看出...

3. 获取数据库信息
并成功解出数据库密码：Plaintext password is:ybsimisbkl 这个密码纠结了结尾是L 不是数字1

<jdbc-driver-params>
    <url>jdbc:oracle:thin:@172.16.0.200:1521/ybzhouggfw</url>
    <driver-name>oracle.jdbc.OracleDriver</driver-name>
    <properties>
      <property>
        <name>user</name>
        <value>ybsimiswb</value>
      </property>
    </properties>
    <password-encrypted>{AES}lLI8SmoRxpy2kr+V8JJXKc6YF9Y9Axphl9YV6dMoQCw=</password-encrypted>
  </jdbc-driver-params>

再一次发现连原来的密码都没修改？？管理员你好懒...
4.取分析数据
表1： 177W个人信息

表2： 184W

表3： 184W社保卡金额信息，估计是过亿了

表4：2200W 金额记录....都是企业

表5： 2700W 金额流水记录 可随意伪造

最后就到这了....敏感重要数据基本都有了，漏洞虽小但是危害很大....
说明：安全检测，点到为止，没有窃取或修改任何数据信息，尽快修复