漏洞标题 壳牌,中国电信的重要系统(联系全国所有结算和结算人员) 相关制造商 中国电信 漏洞作者 过路人 提交时间 2016-04-25 10: 00 公共时间 2016-06-12 15: 00 漏洞类型 成功入侵 危险等级 高 自我评估等级 15 漏洞状态 已提交给第三方合作机构(cncert National Internet Emergency Center) 标签标签 Webshell,缺乏安全意识 漏洞详细信息 **。**。**。**: 8008/cas/login?service=http%3A%2F%2F **。**。**。**%3A8008%2Fdefault.jsp 中国电信全国结算和结算中心 有一个弱密码zhangwei/123456
主页上有一个国家地址簿,其中包含国家计费和结算人员的联系信息,以及软件供应商人员的信息。
返回上一个系统并查找其他一些信息 高价值监控模块显示用户的手机号码和花费的金额,包括用户最近的通话时间。
其他模块的其他信息 每日日志分析网站错误报告,每个平台的分析报告
漏洞证明: Getshell
生成的shell路径采用以下格式。 **。**。**。**: 8008/servlet/DisplayChart?filename=/Document/upload //temp/public1461505601198_1718294122.jsp **。**。**。**: 8008/upload/temp/public1461505601198_1718294122.jsp
Eth0链接封装:以太网HWaddr 68: B5: 99: 79: D4: D0 Inet addr: **。**。**。** Bcast: **。**。**。**掩码: **。**。**。** Inet6 addr: fe80: 6ab5: 99ff: fe79: d4d0/64范围:链接 UP BROADCAST RUNNING MULTICAST MTU: 1500公制: 1 RX数据包: 3020219835错误: 0丢弃: 0溢出: 0帧: 0 从对等方接收数据时失败 Server.mysql.url=jdbc: mysql:复制**。**。**。**: 3306,**。**。**。**: 3306/eip?zeroDateTimeBehavior=convertToNull& loadBalanceBlacklistTimeout=5000& loadBalanceConnectionGroup=cgroup中&安培; autoReconnect的=真安培; autoReconnectForPools=真安培; loadBalanceAutoCommitStatementThreshold=3 Server.mysql.username=EIP Server.mysql.password=EIP
返回数组( 'DB_TYPE'=> '的MySQL', 'DB_HOST'=> '** ** ** **。', 'DB_NAME'=> 'easytalk', 'DB_USER'=> 'u_app', 'DB_PWD'=> 'u_app', 'DB_PORT'=> 3306, 'DB_PREFIX'=> 'et_', 'APP_DEBUG'=>假, ); ?> 可以外展,下载数据,审核或验证,但测试 修理计划: 更改密码以加强员工安全教育 版权声明:请注明出处。居民A @乌云