当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2013-046888
漏洞标题:
千万购官网数据库文件任意下载致整站沦陷
相关厂商:
千万购
漏洞作者:
nauscript
提交时间:
2013-12-24 18:16
修复时间:
2014-02-07 18:17
公开时间:
2014-02-07 18:17
漏洞类型:
重要敏感信息泄露
危害等级:
自评Rank:
12
漏洞状态:
未联系到厂商或者厂商积极忽略
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2013-12-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-02-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

千万购官网数据库备份文件任意下载致整站沦陷

详细说明:

数据库文件:http://www.qianwango.com/data.rar

2.jpg


还有一处:http://www.qianwango.com/kdjj_hdak_wiuhsdbd_sou.mdb
然后传aspx的马,但是马上加速乐会拦截。。。郁闷了,不过还好是进马之后使用功能的时候拦截的,之前略看了一下目录先,发现已经有被传马,几个马儿一样被加速乐拦截。。。
唯独http://www.qianwango.com/iis.aspx比较坚挺,尝试了admin的原始口令就pass了
又被人提权过的痕迹,还开了3389,剩下的事情就是按部就班了。。。。我是说来乌云提交!

1.jpg


3.jpg


4.jpg


大致看了下网站的商品信息等维护更新快,但是对于安全这块却不怎么及时,不知道这个洞会不会来确认。。。。

漏洞证明:

如上

修复方案:

删除后门、防止数据库

版权声明:转载请注明来源 nauscript@乌云

>

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝