北京科码先锋某站疏忽可提权及渗透内网(中粮

时间: 2020-10-11|tag: 62次围观|0 条评论

北京科码先锋某站疏忽可提权及渗透(中粮我买 躺枪)

本想检测中粮我买的c段,结果发现中粮我买的网站开发商的禅道系统也在里面

问题出在http://118.144.75.82/ 禅道系统

admin/123456
 

北京科码先锋某站疏忽可提权及渗透内网(中粮插图

成功拿到shell
 

北京科码先锋某站疏忽可提权及渗透内网(中粮插图1

那么我们怎么证明和中粮我买有关系呢,看下面几张图
 

北京科码先锋某站疏忽可提权及渗透内网(中粮插图2

 

北京科码先锋某站疏忽可提权及渗透内网(中粮插图3

从上面可以看到COFCO字样,我们便知道其中的关系了。

另外还可以通过http://www.co-mall.com/cases.html 得到证实

由此中粮我买的部分源码应该不难得到了吧。
 

至于提权和渗透问题见下图

 

北京科码先锋某站疏忽可提权及渗透内网(中粮插图4

 

北京科码先锋某站疏忽可提权及渗透内网(中粮插图5

还需要进一步证明吗?

修复方案:

修改禅道用户及数据库默认密码。

对服务器权限进行限制。
    上一篇: 谈谈关于PHP的代码安全相关的一些致命知识 - 网

    下一篇: 大麦网某处越权操作之2 - 网站安全 - 自学php
本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了,原文地址《北京科码先锋某站疏忽可提权及渗透内网(中粮
   

还没有人抢沙发呢~