乐视两个服务器的zabbix弱口令可shell可内网

  • 内容
  • 相关

漏洞详情

披露状态:

 

2016-05-10: 细节已通知厂商并且等待厂商处理中
2016-05-11: 厂商已经确认,细节仅向厂商公开
2016-05-21: 细节向核心白帽子及相关领域专家公开
2016-05-31: 细节向普通白帽子公开
2016-06-10: 细节向实习白帽子公开
2016-06-25: 细节向公众公开

简要描述:

乐视两个服务器的zabbix弱口令可shell可内网

详细说明:

 

QQ图片20160510121929.jpg



轮子发现了乐视多个服务器的zabbix系统,其中两个存在弱口令

http://123.59.124.137/ zabbix

http://123.59.124.138/ zabbix

admin zabbix

QQ图片20160510122120.jpg



zabbix后台是可以直接执行shell命令的。

反弹一个shell

QQ图片20160510122226.jpg





QQ图片20160510122241.jpg

 

漏洞证明:

和乐视的内网系统是相通的。可以以深入内网

QQ图片20160510122259.jpg

 

修复方案:

未深入,修复弱口令

版权声明:转载请注明来源 李长歌@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2016-05-11 11:07

厂商回复:

确认漏洞存在,感谢提交!

最新状态:

暂无


本文标签:

版权声明:若无特殊注明,本文皆为《安三》原创,转载请保留文章出处。『鹦鹉搜索』

百度收录:百度未收录『点击提交』

本文链接:乐视两个服务器的zabbix弱口令可shell可内网 - https://www.15qq.cn/wooyun/440.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

允许邮件通知