东方购物网上商城目录遍历数据库密码泄露服务器信息泄露 | wooyun-2012-08459

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2012-08459

漏洞标题：

东方购物网上商城目录遍历数据库密码泄露服务器信息泄露

漏洞详情

披露状态：

2012-06-19：积极联系厂商并且等待厂商认领中，细节不对外公开
2012-08-03：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

几个一起发。综合起来可利用度极高.!!!!!

详细说明：

商城目录遍历数据库密码泄露服务器信息泄露

漏洞证明：

商城目录遍历

数据库密码泄露
db_host = pudong
db_user = ocj_user
db_password = j83f8u
db_name = ocj_shopping
服务器信息泄露

Server Version: Apache/2.2.17 (Unix) mod_fcgid/2.3.5
Server Built: Mar 25 2011 14:41:17
Server loaded APR Version: 1.4.2
Compiled with APR Version: 1.4.2
Server loaded APU Version: 1.3.10
Compiled with APU Version: 1.3.10
Module Magic Number: 20051115:25
Hostname/port: wap.ocj.com.cn:80
Timeouts: connection: 300    keep-alive: 5
MPM Name: Worker
MPM Information: Max Daemons: 3 Threaded: yes Forked: yes
Server Architecture: 64-bit
Server Root: /usr/local/apache-2.2.17
Config File: /usr/project/apache_eth0/http_80/conf/httpd.conf
Server Built With: -D APACHE_MPM_DIR="server/mpm/worker" -D APR_HAS_SENDFILE -D APR_HAS_MMAP -D APR_HAVE_IPV6 (IPv4-mapped addresses enabled) -D APR_USE_SYSVSEM_SERIALIZE -D SINGLE_LISTEN_UNSERIALIZED_ACCEPT -D APR_HAS_OTHER_CHILD -D AP_HAVE_RELIABLE_PIPED_LOGS -D HTTPD_ROOT="/usr/local/apache-2.2.17" -D SUEXEC_BIN="/usr/local/apache-2.2.17/bin/suexec" -D DEFAULT_ERRORLOG="logs/error_log" -D AP_TYPES_CONFIG_FILE="conf/mime.types" -D SERVER_CONFIG_FILE="conf/httpd.conf"

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源蟋蟀哥哥@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 蟋蟀哥哥@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

版权声明：转载请注明来源蟋蟀哥哥@乌云