百度某站弱口令或可shell可内网

漏洞概要

缺陷编号:WooYun-2015-098413

漏洞标题:百度某站弱口令或可shell可内网

相关厂商:百度

漏洞作者:杀器王子

提交时间:2015-02-26 15:10

公开时间:2015-04-13 16:58

漏洞类型:服务弱口令

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-02-26: 细节已通知厂商并且等待厂商处理中
2015-02-27: 厂商已经确认,细节仅向厂商公开
2015-03-09: 细节向核心白帽子及相关领域专家公开
2015-03-19: 细节向普通白帽子公开
2015-03-29: 细节向实习白帽子公开
2015-04-13: 细节向公众公开

简要描述:

百度某站弱口令或可shell

详细说明:

http://112.80.248.138:8080/百度未来商店测试站http://112.80.248.138:8080/phpmyadmin/index.phpphpmyadmin弱口令 root/222222

漏洞证明:

可读文件

按照百度的一贯风格 web目录 mysql权限是可写的路径不好找 不浪费时间了 找到路径 outfile即可

修复方案:

下线

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-02-2718:06

厂商回复:

感谢提交,已通知业务部门处理

最新状态:

暂无

评价

  1. 2010-01-01 00:00 Mik3y_14 白帽子 | Rank:33 漏洞数:2)

    前排

  2. 2010-01-01 00:00 剑心 白帽子 | Rank:0 漏洞数:0)

    瓜子

  3. 2010-01-01 00:00 Ton7BrEak 白帽子 | Rank:128 漏洞数:8)

    花生

  4. 2010-01-01 00:00 if、so 白帽子 | Rank:1007 漏洞数:87)

    百度多久报警一次?

  5. 2010-01-01 00:00 子非海绵宝宝 白帽子 | Rank:1220 漏洞数:113)

    前排

  6. 2010-01-01 00:00 小龙 白帽子 | Rank:1634 漏洞数:152)

    狗屎运都走的这么的有杀气,漂亮!

  7. 2010-01-01 00:00 Catsay 白帽子 | Rank:66 漏洞数:7)

    这么吊。。

  8. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    我靠!是dz么

  9. 2010-01-01 00:00 milkeway 白帽子 | Rank:0 漏洞数:1)

    吊逼

  10. 2010-01-01 00:00 Fire ant 白帽子 | Rank:39 漏洞数:5)

    不知道CCTV能看到我不

  11. 2010-01-01 00:00 独孤小白兔 白帽子 | Rank:0 漏洞数:0)

    话说大牛也是26号上班啊,