易方达基金某系统漏洞直接Getshell可影响内网安全

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0153254

漏洞标题：易方达基金某系统漏洞直接Getshell可影响内网安全

漏洞作者：路人甲

提交时间：2015-11-10 11:42

修复时间：2015-11-23 08:34

公开时间：2015-11-23 08:34

漏洞类型：重要敏感信息泄露

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-11-10：细节已通知厂商并且等待厂商处理中
2015-11-23：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

RT.可影响内网几十台服务器，考虑是基金业务，没敢多操作，仅作危害证明！

详细说明：

http://121.15.6.114:9090/axis2/ admin axis2 进入后台后直接上传webshell

发现处于内网中

漏洞证明：

发现处于域里面

\\10-99-48-119                                                                 
\\PSZ-DEV-003                                                                  
\\PSZ-DEV-004                                                                  
\\PSZ-HS-10                                                                    
\\PSZ-HS-11                                                                    
\\PSZ-TA-GUZHI-04                                                              
\\PSZ-TA4-CLI-01                                                               
\\RS-OADB-02                                                                   
\\RS-W2K8-TEST-01                                                              
\\RSZ-O32CLI-03                                                                
\\RSZ-O32CLI-04                                                                
\\RSZ-O32CLI-05                                                                
\\RVPC-HSQD-02                                                                 
\\RVS-ETRADE-02                                                                
\\RVS-HSDB-TEST1                                                               
\\RVS-INFODB-01                                                                
\\RVS-KFDESKTOP-1                                                              
\\RVS-KFDESKTOP-2                                                              
\\RVS-KFDESKTOP-3                                                              
\\RVS-OA-APP-2                                                                 
\\RVS-SALE-BS-01                                                               
\\RVS-TA-02                                                                    
\\RVS-TEXUDO-02                                                                
\\RVS-TEXUDO-CLI1                                                              
\\RVS-TYDW-LIUHZ                                                               
\\SZ-LHPT-01                                                                   
\\VS-COSNOLE-01                                                                
\\VS-OMS-APP-01                                                                
\\VS-PROP-TEST                                                                 
\\VS-TYGL-APP-01                                                               
\\VSZ-HS-09                                                                    
\\VSZ-ICBC-TEST-1                                                              
\\VSZ-ICBC-TEST-2                                                              
\\VSZ-INDEXO32-01                                                              
\\VSZ-INDEXO32-02                                                              
\\VSZ-JZPL-01                                                                  
\\VSZ-LOADAPP-01                                                               
\\VSZ-LTF-01                                                                   
\\VSZ-QR-01                                                                    
\\VSZ-TA-CLIENT01                                                              
\\VSZ-TA-CLIENT02                                                              
\\VSZ-TA-GUZHI-02                                                              
\\VSZ-TA-GUZHI-03                                                              
\\VSZ-TYTEST-01                                                                
\\VSZ-TYTEST-02                                                                
\\VSZ-XT-TEST01                                                                
\\VSZ-YEB-APP-04

查看内网的连接地址

其实可以操神器弹出代理漫游内网，内网系统的漏洞就更不用说了.考虑基金业务，就没再搞了

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-11-23 08:34

厂商回复：

漏洞Rank：15 (WooYun评价)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0153254

漏洞标题：易方达基金某系统漏洞直接Getshell可影响内网安全

相关厂商：易方达基金管理有限公司

漏洞作者：路人甲

提交时间：2015-11-10 11:42

修复时间：2015-11-23 08:34

公开时间：2015-11-23 08:34

漏洞类型：重要敏感信息泄露

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0153254

漏洞标题：易方达基金某系统漏洞直接Getshell可影响内网安全

相关厂商：易方达基金管理有限公司

漏洞作者： 路人甲

提交时间：2015-11-10 11:42

修复时间：2015-11-23 08:34

公开时间：2015-11-23 08:34

漏洞类型：重要敏感信息泄露

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0153254"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云