某漏洞可导致直捣letv内网 - 网站安全 - 自学php-自学php网

子栏目

主页 > 入门引导 > 黑客攻防 >

某漏洞可导致直捣letv内网 - 网站安全 - 自学php

来源：自学PHP网时间：2015-04-15 15:00 作者：阅读:次

[导读] 配置不当直接执行命令，可以危及整个内网系统，由于该漏洞的IP没有绑定域名，也就是说不是* letv com，而众测里说的是带域名的，不带域名的不收，所以sobug不认这漏洞。大家觉得这种...

配置不当直接执行命令，可以危及整个内网系统，由于该漏洞的IP没有绑定域名，也就是说不是*.letv.com，而众测里说的是带域名的，不带域名的不收，所以sobug不认这漏洞。大家觉得这种洞应该收吗？http://123.126.32.82:8080/script
Jenkins无认证，可直接访问

可以看到有公网IP和内网IP，经过ping测试可以直接连通公网，故而反弹或者直连SOCKS5代理即可直接访问内网系统。
wget一个扫描脚本进行初步探测：

网站的banner信息里也显示是letv的内网无误，继而通过curl等其他命令，可以访问内网资源。

println "curl http://10.126.32.75/".execute().text

修复方案：

设密码

再谈文件上传漏洞的防范 - 网站安全 - 自学php

Discuz3.2漏洞文件包含漏洞可后台拿shell - 网站安全

最新评论

加载更多~~

添加评论

更多文章推荐

苏迪Webplus 3 EX网站群内容管理系统任意用户密码 2015-04-15
wordpress账户防暴力破解攻击 - 网站安全 - 自学php网 2015-04-15
Chrome 是怎么过滤反射型 XSS 的呢？ - 网站安全 2015-04-15
朋友网查询QQ号漏洞(已修复) - 网站安全 - 自学 2015-04-15
dedecms5.7注入和上传漏洞 2014-11-05
凡诺企业网站管理系统后台绕过 - 网站安全 - 自 2015-04-15
金迪邮件系统任意用户劫持到添加系统管理员 2015-04-15
Discuz3.2漏洞文件包含漏洞可后台拿shell - 网站安全 2015-04-15
腾讯邮箱正文存储行XSS漏洞 - 网站安全 - 自学p 2015-04-15
Detours修改段属性漏洞 - 网站安全 - 自学php 2015-04-15

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习，以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明：本站所有视频，教程都由网友上传，站长收集和分享给大家学习使用，如由牵扯版权问题请联系站长邮箱904561283@qq.com



添加评论