中兴某站万能密码导致getshell

漏洞概要

缺陷编号:WooYun-2015-0130091

漏洞标题:中兴某站万能密码导致getshell

相关厂商:中兴通讯股份有限公司

漏洞作者:qhwlpg

提交时间:2015-07-29 09:18

公开时间:2015-07-29 10:08

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2015-07-29: 细节已通知厂商并且等待厂商处理中
2015-07-29: 厂商已查看当前漏洞内容,细节仅向厂商公开
2015-07-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

http://113.98.59.170用户名admin'or'1'='1密码admin'or '1'='1

漏洞证明:

aspcms添加模版getshell连菜刀不行,后来提权上cmd.exe传不上去。。穿了asp大马,有之前入侵的痕迹

修复方案:

asp大马我删掉了,下线改应用aspcms还是不少洞的,用的还是较老的版本--

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-07-2910:08

厂商回复:

首先感谢qhwlpg的提交,已经与该系统的负责人取得沟通,认为该系统不影响我司正常业务运行,谢谢~

最新状态:

暂无

评价

  1. 2010-01-01 00:00 qhwlpg 白帽子 | Rank:141 漏洞数:13)

    ...然后下线了

  2. 2010-01-01 00:00 Seven.Sea 白帽子 | Rank:44 漏洞数:5)

    23333默默下线

  3. 2010-01-01 00:00 人丑嘴不甜 白帽子 | Rank:0 漏洞数:0)

    无影响 你关什么服务器啊 搞笑