大麦网全网源码泄露/shell/全网数据库泄露漏洞集合

发表于 2014年12月31日
WooYun漏洞库

漏洞概要

缺陷编号：WooYun-2014-089477

漏洞标题：大麦网全网源码泄露/shell/全网数据库泄露漏洞集合

漏洞详情

披露状态：

2014-12-31: 细节已通知厂商并且等待厂商处理中
2014-12-31: 厂商已经确认，细节仅向厂商公开
2015-01-10: 细节向核心白帽子及相关领域专家公开
2015-01-20: 细节向普通白帽子公开
2015-01-30: 细节向实习白帽子公开
2015-02-14: 细节向公众公开

简要描述：

小问题大能量耶

详细说明：

58.83.157.187 rsync未授权访问

rsync 58.83.157.187::website/<br>
drwxr-xr-x           0 2014/12/25 23:21:53 .<br>
-rw-r--r--     4144684 2014/04/24 11:06:30 mchannelcms.damai.cn.rar<br>
-rw-r--r--     4313299 2012/11/28 14:22:04 mm.rar<br>
-rw-r--r--          11 2011/10/27 16:10:44 nagiostest.htm<br>
drwxr-xr-x           0 2014/12/09 15:15:59 163.m.damai.cn<br>
drwxr-xr-x           0 2014/11/03 18:02:51 AppMultiple.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 AppPlatforms.damai.cn<br>
drwxr-xr-x           0 2014/12/30 17:56:51 MobileValidate<br>
drwxr-xr-x           0 2012/05/21 16:06:40 NewSh.piao.com.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 NewYear2012.damai.cn<br>
drwxr-xr-x           0 2013/10/31 10:05:12 Newother.piao.com.cn<br>
drwxr-xr-x           0 2014/11/12 10:25:10 Piao2009Admin<br>
drwxr-xr-x           0 2014/04/23 01:19:43 Pony.damai.cn<br>
drwxr-xr-x           0 2012/05/31 17:19:19 admin.piao.com.cn90<br>
drwxr-xr-x           0 2014/04/23 01:19:43 admin.piao.com.cn91<br>
drwxr-xr-x           0 2014/10/31 21:13:37 alipay.m.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 alladmin<br>
drwxr-xr-x           0 2013/06/25 20:49:21 anti.damai.cn<br>
drwxr-xr-x           0 2012/05/28 15:26:40 api.flash.damai.cn<br>
drwxr-xr-x           0 2014/12/03 01:59:54 api.movie.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 api.scorecenter.damai.cn<br>
drwxr-xr-x           0 2014/12/09 10:50:39 banka.damai.cn<br>
drwxr-xr-x           0 2012/05/28 15:12:19 biz.damai.cn<br>
drwxr-xr-x           0 2014/10/31 02:56:40 bj.piao.com.cn<br>
drwxr-xr-x           0 2012/05/31 17:28:31 bus.piao.com.cn<br>
drwxr-xr-x           0 2014/06/17 21:45:42 cd_en_piao<br>
drwxr-xr-x           0 2013/01/15 20:17:28 cdadmin.piao.com.cn<br>
drwxr-xr-x           0 2011/10/27 16:13:15 city.piao.com.cn<br>
drwxr-xr-x           0 2014/12/09 10:51:06 classical.damai.cn<br>
drwxr-xr-x           0 2014/09/15 11:09:31 cmb.m.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 cms.damai.cn<br>
drwxr-xr-x           0 2011/10/27 16:13:31 cooper<br>
drwxr-xr-x           0 2014/12/11 00:42:08 cp.piao.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 cpe.damai.cn<br>
drwxr-xr-x           0 2011/10/27 16:13:49 cpgateway.piao.com.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 d.damai.cn<br>
drwxr-xr-x           0 2011/10/27 16:14:33 damai.95516.net<br>
drwxr-xr-x           0 2014/06/25 02:20:20 damaisdk_data<br>
drwxr-xr-x           0 2012/11/20 21:13:18 dianjiang.damai.cn<br>
drwxr-xr-x           0 2012/05/31 19:48:46 dianjiang1.damai.cn<br>
drwxr-xr-x           0 2013/10/30 14:26:17 dianjiang2.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 diy.damai.cn<br>
drwxr-xr-x           0 2012/06/02 23:26:39 djmanage.damai.cn<br>
drwxr-xr-x           0 2012/06/02 23:26:39 djmanage1.damai.cn<br>
drwxr-xr-x           0 2014/12/09 11:14:45 djmanage2.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 drama.damai.cn<br>
drwxr-xr-x           0 2014/07/02 21:59:40 e.damai.cn<br>
drwxr-xr-x           0 2012/06/14 19:38:17 e1.damai.cn<br>
drwxr-xr-x           0 2014/11/01 07:57:07 edm.damai.cn<br>
drwxr-xr-x           0 2012/06/28 14:19:33 en.piao.com.cn<br>
drwxr-xr-x           0 2014/10/31 00:13:55 en_piao<br>
drwxr-xr-x           0 2014/12/09 10:51:51 enmanage.damai.cn<br>
drwxr-xr-x           0 2014/12/11 17:36:37 ewallet<br>
drwxr-xr-x           0 2014/10/28 22:04:55 fansaction.damai.cn<br>
drwxr-xr-x           0 2012/05/28 15:51:29 fenghuang.damai.cn<br>
drwxr-xr-x           0 2014/05/27 16:53:09 global.damai.cn<br>
drwxr-xr-x           0 2014/10/31 00:17:45 gz_en_piao<br>
drwxr-xr-x           0 2013/06/04 17:38:08 gzadmin.piao.com.cn<br>
drwxr-xr-x           0 2013/07/01 10:23:21 gznews.piao.com.cn<br>
drwxr-xr-x           0 2014/05/22 10:06:18 i.damai.cn<br>
drwxr-xr-x           0 2013/08/27 18:24:34 jf.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 jp_piao<br>
drwxr-xr-x           0 2014/10/30 20:08:06 kids.damai.cn<br>
drwxr-xr-x           0 2011/09/05 14:02:08 kr_piao<br>
drwxr-xr-x           0 2014/04/23 01:19:41 live.damai.cn<br>
drwxr-xr-x           0 2012/06/02 23:26:39 lycprogramorderdeal<br>
drwxr-xr-x           0 2014/10/22 14:10:22 m.damai.cn<br>
drwxr-xr-x           0 2014/04/22 23:45:56 mai.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 manti.damai.cn<br>
drwxr-xr-x           0 2012/04/19 23:03:23 mapi.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 mark.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 matix.net<br>
drwxr-xr-x           0 2013/09/12 21:41:48 mayday3d.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:42 mball.damai.cn<br>
drwxr-xr-x           0 2014/01/14 12:09:18 mbanka.damai.cn<br>
drwxr-xr-x           0 2014/05/20 22:11:06 mchannelcms.damai.cn<br>
drwxr-xr-x           0 2014/01/14 12:09:24 mdianying.damai.cn<br>
drwxr-xr-x           0 2014/11/03 13:58:55 mdrama.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:43 metasearch.damai.cn<br>
drwxr-xr-x           0 2014/04/23 00:25:36 mjf.damai.cn<br>
drwxr-xr-x           0 2012/06/02 23:26:38 mmessage.damai.cn<br>
drwxr-xr-x           0 2014/01/14 12:09:43 mmovie.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 mmsg.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 mnews.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 mobile.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 mobileapi.damai.cn<br>
drwxr-xr-x           0 2014/12/03 01:09:43 movie.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 moviesite<br>
drwxr-xr-x           0 2014/03/06 21:13:04 moviex.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 mpay.damai.cn<br>
drwxr-xr-x           0 2014/11/27 09:23:57 mperform.damai.cn<br>
drwxr-xr-x           0 2012/10/25 23:50:12 mperfrom.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 mpopup.damai.cn<br>
drwxr-xr-x           0 2014/01/14 12:11:08 mprivilege.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:44 mqa.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 mrock.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 mscore.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 mshop.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 mshoping.damai.cn<br>
drwxr-xr-x           0 2014/01/14 12:17:07 msubcenter.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:48 msuperticket.damai.cn<br>
drwxr-xr-x           0 2014/12/30 10:51:56 mtang.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 mtravel.damai.cn<br>
drwxr-xr-x           0 2014/11/06 20:36:36 muserdata.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 mvenue.damai.cn<br>
drwxr-xr-x           0 2014/01/14 12:17:32 mwarn.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 news.damai.cn<br>
drwxr-xr-x           0 2012/07/02 11:08:57 news.piao.com.cn<br>
drwxr-xr-x           0 2014/05/09 15:47:19 nothingSite<br>
drwxr-xr-x           0 2014/02/24 10:26:01 npapi.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:41 open.damai.cn<br>
drwxr-xr-x           0 2014/07/10 12:04:22 page.damai.cn<br>
drwxr-xr-x           0 2013/01/18 22:44:23 paytemp.damai.cn<br>
drwxr-xr-x           0 2014/10/16 16:31:24 per<br>
drwxr-xr-x           0 2014/01/14 12:18:03 permmovie.damai.cn<br>
drwxr-xr-x           0 2014/12/25 23:21:53 permovie.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:40 psm.damai.cn<br>
drwxr-xr-x           0 2014/02/24 10:23:03 qinz.damai.cn<br>
drwxr-xr-x           0 2014/12/20 16:07:42 rock.damai.cn<br>
drwxr-xr-x           0 2014/10/30 22:10:40 s.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:40 sadmin.damai.cn<br>
drwxr-xr-x           0 2012/06/02 23:29:40 sadmin.piao.com.cn<br>
drwxr-xr-x           0 2014/12/09 15:39:01 sale.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:40 sbuy.damai.cn<br>
drwxr-xr-x           0 2011/08/31 03:13:31 seoee<br>
drwxr-xr-x           0 2011/08/31 03:13:31 sh.piao.com.cn<br>
drwxr-xr-x           0 2011/09/05 14:05:45 sh.piao.com.cn90<br>
drwxr-xr-x           0 2013/08/09 11:24:37 sh_en_piao<br>
drwxr-xr-x           0 2011/10/27 16:46:08 shnews.piao.com.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:40 sina.damai.cn<br>
drwxr-xr-x           0 2014/10/31 08:37:16 sinabuy.damai.cn<br>
drwxr-xr-x           0 2014/10/20 12:04:03 sseat.damai.cn<br>
drwxr-xr-x           0 2014/04/17 22:30:27 super.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:46 superticket.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:40 t.damai.cn<br>
drwxr-xr-x           0 2014/02/24 10:27:06 tang.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:43 train.piao.com.cn<br>
drwxr-xr-x           0 2014/10/31 00:28:56 travel.damai.cn<br>
drwxr-xr-x           0 2014/03/13 15:19:55 traveloff.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:40 union.damai.cn<br>
drwxr-xr-x           0 2014/07/30 13:50:57 unioncms.damai.cn<br>
drwxr-xr-x           0 2014/05/08 22:14:31 venue.damai.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:48 wangzhanhoutai2009.damai.cn<br>
drwxr-xr-x           0 2014/11/04 15:01:51 wap.damai.cn<br>
drwxr-xr-x           0 2012/08/14 17:02:51 wr.piao.com.cn<br>
drwxr-xr-x           0 2014/04/23 01:19:48 www.3721inn.com<br>
drwxr-xr-x           0 2012/09/26 00:48:52 www.baotoo.com<br>
drwxr-xr-x           0 2013/05/23 20:28:44 www.czslyydd.com<br>
drwxr-xr-x           0 2013/05/14 01:55:33 www.maikr.com<br>
drwxr-xr-x           0 2014/04/23 01:19:48 www.maitix.com<br>
drwxr-xr-x           0 2011/09/05 14:54:57 www.piao.com.cn<br>
drwxr-xr-x           0 2014/08/21 22:14:42 zdj.damai.cn<br>
drwxr-xr-x           0 2014/11/25 21:14:44 zhaopin.damai.cn<br>
drwxr-xr-x           0 2014/12/04 10:28:53 zzj.damai.cn

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

rsync 58.83.157.187::website/

drwxr-xr-x 0 2014/12/25 23:21:53 .

-rw-r--r-- 4144684 2014/04/24 11:06:30 mchannelcms.damai.cn.rar

-rw-r--r-- 4313299 2012/11/28 14:22:04 mm.rar

-rw-r--r-- 11 2011/10/27 16:10:44 nagiostest.htm

drwxr-xr-x 0 2014/12/09 15:15:59 163.m.damai.cn

drwxr-xr-x 0 2014/11/03 18:02:51 AppMultiple.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 AppPlatforms.damai.cn

drwxr-xr-x 0 2014/12/30 17:56:51 MobileValidate

drwxr-xr-x 0 2012/05/21 16:06:40 NewSh.piao.com.cn

drwxr-xr-x 0 2014/04/23 01:19:41 NewYear2012.damai.cn

drwxr-xr-x 0 2013/10/31 10:05:12 Newother.piao.com.cn

drwxr-xr-x 0 2014/11/12 10:25:10 Piao2009Admin

drwxr-xr-x 0 2014/04/23 01:19:43 Pony.damai.cn

drwxr-xr-x 0 2012/05/31 17:19:19 admin.piao.com.cn90

drwxr-xr-x 0 2014/04/23 01:19:43 admin.piao.com.cn91

drwxr-xr-x 0 2014/10/31 21:13:37 alipay.m.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 alladmin

drwxr-xr-x 0 2013/06/25 20:49:21 anti.damai.cn

drwxr-xr-x 0 2012/05/28 15:26:40 api.flash.damai.cn

drwxr-xr-x 0 2014/12/03 01:59:54 api.movie.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 api.scorecenter.damai.cn

drwxr-xr-x 0 2014/12/09 10:50:39 banka.damai.cn

drwxr-xr-x 0 2012/05/28 15:12:19 biz.damai.cn

drwxr-xr-x 0 2014/10/31 02:56:40 bj.piao.com.cn

drwxr-xr-x 0 2012/05/31 17:28:31 bus.piao.com.cn

drwxr-xr-x 0 2014/06/17 21:45:42 cd_en_piao

drwxr-xr-x 0 2013/01/15 20:17:28 cdadmin.piao.com.cn

drwxr-xr-x 0 2011/10/27 16:13:15 city.piao.com.cn

drwxr-xr-x 0 2014/12/09 10:51:06 classical.damai.cn

drwxr-xr-x 0 2014/09/15 11:09:31 cmb.m.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 cms.damai.cn

drwxr-xr-x 0 2011/10/27 16:13:31 cooper

drwxr-xr-x 0 2014/12/11 00:42:08 cp.piao.cn

drwxr-xr-x 0 2014/04/23 01:19:41 cpe.damai.cn

drwxr-xr-x 0 2011/10/27 16:13:49 cpgateway.piao.com.cn

drwxr-xr-x 0 2014/04/23 01:19:41 d.damai.cn

drwxr-xr-x 0 2011/10/27 16:14:33 damai.95516.net

drwxr-xr-x 0 2014/06/25 02:20:20 damaisdk_data

drwxr-xr-x 0 2012/11/20 21:13:18 dianjiang.damai.cn

drwxr-xr-x 0 2012/05/31 19:48:46 dianjiang1.damai.cn

drwxr-xr-x 0 2013/10/30 14:26:17 dianjiang2.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 diy.damai.cn

drwxr-xr-x 0 2012/06/02 23:26:39 djmanage.damai.cn

drwxr-xr-x 0 2012/06/02 23:26:39 djmanage1.damai.cn

drwxr-xr-x 0 2014/12/09 11:14:45 djmanage2.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 drama.damai.cn

drwxr-xr-x 0 2014/07/02 21:59:40 e.damai.cn

drwxr-xr-x 0 2012/06/14 19:38:17 e1.damai.cn

drwxr-xr-x 0 2014/11/01 07:57:07 edm.damai.cn

drwxr-xr-x 0 2012/06/28 14:19:33 en.piao.com.cn

drwxr-xr-x 0 2014/10/31 00:13:55 en_piao

drwxr-xr-x 0 2014/12/09 10:51:51 enmanage.damai.cn

drwxr-xr-x 0 2014/12/11 17:36:37 ewallet

drwxr-xr-x 0 2014/10/28 22:04:55 fansaction.damai.cn

drwxr-xr-x 0 2012/05/28 15:51:29 fenghuang.damai.cn

drwxr-xr-x 0 2014/05/27 16:53:09 global.damai.cn

drwxr-xr-x 0 2014/10/31 00:17:45 gz_en_piao

drwxr-xr-x 0 2013/06/04 17:38:08 gzadmin.piao.com.cn

drwxr-xr-x 0 2013/07/01 10:23:21 gznews.piao.com.cn

drwxr-xr-x 0 2014/05/22 10:06:18 i.damai.cn

drwxr-xr-x 0 2013/08/27 18:24:34 jf.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 jp_piao

drwxr-xr-x 0 2014/10/30 20:08:06 kids.damai.cn

drwxr-xr-x 0 2011/09/05 14:02:08 kr_piao

drwxr-xr-x 0 2014/04/23 01:19:41 live.damai.cn

drwxr-xr-x 0 2012/06/02 23:26:39 lycprogramorderdeal

drwxr-xr-x 0 2014/10/22 14:10:22 m.damai.cn

drwxr-xr-x 0 2014/04/22 23:45:56 mai.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 manti.damai.cn

drwxr-xr-x 0 2012/04/19 23:03:23 mapi.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 mark.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 matix.net

drwxr-xr-x 0 2013/09/12 21:41:48 mayday3d.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:42 mball.damai.cn

drwxr-xr-x 0 2014/01/14 12:09:18 mbanka.damai.cn

drwxr-xr-x 0 2014/05/20 22:11:06 mchannelcms.damai.cn

drwxr-xr-x 0 2014/01/14 12:09:24 mdianying.damai.cn

drwxr-xr-x 0 2014/11/03 13:58:55 mdrama.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:43 metasearch.damai.cn

drwxr-xr-x 0 2014/04/23 00:25:36 mjf.damai.cn

drwxr-xr-x 0 2012/06/02 23:26:38 mmessage.damai.cn

drwxr-xr-x 0 2014/01/14 12:09:43 mmovie.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 mmsg.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 mnews.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 mobile.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 mobileapi.damai.cn

drwxr-xr-x 0 2014/12/03 01:09:43 movie.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 moviesite

drwxr-xr-x 0 2014/03/06 21:13:04 moviex.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 mpay.damai.cn

drwxr-xr-x 0 2014/11/27 09:23:57 mperform.damai.cn

drwxr-xr-x 0 2012/10/25 23:50:12 mperfrom.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 mpopup.damai.cn

drwxr-xr-x 0 2014/01/14 12:11:08 mprivilege.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:44 mqa.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 mrock.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 mscore.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 mshop.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 mshoping.damai.cn

drwxr-xr-x 0 2014/01/14 12:17:07 msubcenter.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:48 msuperticket.damai.cn

drwxr-xr-x 0 2014/12/30 10:51:56 mtang.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 mtravel.damai.cn

drwxr-xr-x 0 2014/11/06 20:36:36 muserdata.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 mvenue.damai.cn

drwxr-xr-x 0 2014/01/14 12:17:32 mwarn.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 news.damai.cn

drwxr-xr-x 0 2012/07/02 11:08:57 news.piao.com.cn

drwxr-xr-x 0 2014/05/09 15:47:19 nothingSite

drwxr-xr-x 0 2014/02/24 10:26:01 npapi.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:41 open.damai.cn

drwxr-xr-x 0 2014/07/10 12:04:22 page.damai.cn

drwxr-xr-x 0 2013/01/18 22:44:23 paytemp.damai.cn

drwxr-xr-x 0 2014/10/16 16:31:24 per

drwxr-xr-x 0 2014/01/14 12:18:03 permmovie.damai.cn

drwxr-xr-x 0 2014/12/25 23:21:53 permovie.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:40 psm.damai.cn

drwxr-xr-x 0 2014/02/24 10:23:03 qinz.damai.cn

drwxr-xr-x 0 2014/12/20 16:07:42 rock.damai.cn

drwxr-xr-x 0 2014/10/30 22:10:40 s.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:40 sadmin.damai.cn

drwxr-xr-x 0 2012/06/02 23:29:40 sadmin.piao.com.cn

drwxr-xr-x 0 2014/12/09 15:39:01 sale.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:40 sbuy.damai.cn

drwxr-xr-x 0 2011/08/31 03:13:31 seoee

drwxr-xr-x 0 2011/08/31 03:13:31 sh.piao.com.cn

drwxr-xr-x 0 2011/09/05 14:05:45 sh.piao.com.cn90

drwxr-xr-x 0 2013/08/09 11:24:37 sh_en_piao

drwxr-xr-x 0 2011/10/27 16:46:08 shnews.piao.com.cn

drwxr-xr-x 0 2014/04/23 01:19:40 sina.damai.cn

drwxr-xr-x 0 2014/10/31 08:37:16 sinabuy.damai.cn

drwxr-xr-x 0 2014/10/20 12:04:03 sseat.damai.cn

drwxr-xr-x 0 2014/04/17 22:30:27 super.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:46 superticket.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:40 t.damai.cn

drwxr-xr-x 0 2014/02/24 10:27:06 tang.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:43 train.piao.com.cn

drwxr-xr-x 0 2014/10/31 00:28:56 travel.damai.cn

drwxr-xr-x 0 2014/03/13 15:19:55 traveloff.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:40 union.damai.cn

drwxr-xr-x 0 2014/07/30 13:50:57 unioncms.damai.cn

drwxr-xr-x 0 2014/05/08 22:14:31 venue.damai.cn

drwxr-xr-x 0 2014/04/23 01:19:48 wangzhanhoutai2009.damai.cn

drwxr-xr-x 0 2014/11/04 15:01:51 wap.damai.cn

drwxr-xr-x 0 2012/08/14 17:02:51 wr.piao.com.cn

drwxr-xr-x 0 2014/04/23 01:19:48 www.3721inn.com

drwxr-xr-x 0 2012/09/26 00:48:52 www.baotoo.com

drwxr-xr-x 0 2013/05/23 20:28:44 www.czslyydd.com

drwxr-xr-x 0 2013/05/14 01:55:33 www.maikr.com

drwxr-xr-x 0 2014/04/23 01:19:48 www.maitix.com

drwxr-xr-x 0 2011/09/05 14:54:57 www.piao.com.cn

drwxr-xr-x 0 2014/08/21 22:14:42 zdj.damai.cn

drwxr-xr-x 0 2014/11/25 21:14:44 zhaopin.damai.cn

drwxr-xr-x 0 2014/12/04 10:28:53 zzj.damai.cn

不夸张真的是全网的源码源码里又有全网的数据库配置

漏洞证明：

随便同步了一个竟然发现了shell unioncms.damai.cn

链接各种数据库就不演示了，每个网站目录下的web.config中读到数据库地址密码连接就ok

修复方案：

rsync加入授权

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-12-3112:30

厂商回复：

感谢发现的漏洞

评价

2010-01-01 00:00 子非海绵宝宝白帽子 | Rank:1220 漏洞数:113)

前排关注
2010-01-01 00:00 疯狗白帽子 | Rank:22 漏洞数:2)

全网源码。。。代表我能搭建一个大麦网么？
2010-01-01 00:00 g0odnight 白帽子 | Rank:39 漏洞数:4)

大麦网看这里！
2010-01-01 00:00 浩天白帽子 | Rank:851 漏洞数:68)

我准备搭建个大卖网
2010-01-01 00:00 猪猪侠白帽子 | Rank:2932 漏洞数:249)

小问题大能量耶
2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

是马甲么、、、
2010-01-01 00:00 ca1n 白帽子 | Rank:45 漏洞数:6)

?
2010-01-01 00:00 Hxai11 白帽子 | Rank:970 漏洞数:147)

杀气小王子肯定想要大麦网送的票所以嘿嘿
2010-01-01 00:00 _Thorns 白帽子 | Rank:796 漏洞数:60)

醉了，这个要是留着下来做审计，哪又是一堆洞啊。

原文连接：大麦网全网源码泄露/shell/全网数据库泄露漏洞集合 所有媒体，可在保留署名、原文连接的情况下转载，若非则不得使用我方内容。