拉卡拉某系统配置不当导致查看用户登录弱口令/命令执行

  • 内容
  • 相关

漏洞详情

披露状态:

 

2016-04-26: 细节已通知厂商并且等待厂商处理中
2016-04-26: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-05-05: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

rt

详细说明:

 

mask 区域
1.http://**.**.**/_
**********
*****ip是拉*****
*****0fd8905358e9721fd2ef.png&qu*****
**********
2.http://**.**.**/job/%E4%BA%92%E8%81%94%E7%BD%91%E6%94%AF%E4%BB%98%E7%B3%BB%E7%BB%9F/ws/api/target/titlees/com/lakala/sh/front/mpos/api/MPosRetCode.title/*view*/_
**********
*****b270bbfc20ee02040955.png&qu*****
**********
**********
**********
3.http://**.**.**/ 可以看用户_
*****9968e32e2009b6f66b61.png&qu*****
*****用522 *****
*****00d4bfbe29effec501a2.png&qu*****
***** 密*****
*****e838ea6f3298e9b6adca.png&qu*****
**********
*****执行*****
**********
4.http://**.**.**/script_
*****c75a384be6d2b2d58de1.png&qu*****
**********
*****然*****

 

漏洞证明:

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

daemon:x:2:2:daemon:/sbin:/sbin/nologin

adm:x:3:4:adm:/var/adm:/sbin/nologin

lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin

sync:x:5:0:sync:/sbin:/bin/sync

shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

halt:x:7:0:halt:/sbin:/sbin/halt

mail:x:8:12:mail:/var/spool/mail:/sbin/nologin

uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin

operator:x:11:0:operator:/root:/sbin/nologin

games:x:12:100:games:/usr/games:/sbin/nologin

gopher:x:13:30:gopher:/var/gopher:/sbin/nologin

ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

nobody:x:99:99:Nobody:/:/sbin/nologin

vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin

saslauth:x:499:76:"Saslauthd user":/var/empty/saslauth:/sbin/nologin

postfix:x:89:89::/var/spool/postfix:/sbin/nologin

sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin

ntp:x:38:38::/etc/ntp:/sbin/nologin

tcpdump:x:72:72::/:/sbin/nologin

dbus:x:81:81:System message bus:/:/sbin/nologin

avahi-autoipd:x:170:170:Avahi IPv4LL Stack:/var/lib/avahi-autoipd:/sbin/nologin

jenkins:x:498:498:Jenkins Continuous Integration Server:/var/lib/jenkins:/bin/false

修复方案:

弱口令

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-05-05 18:20

厂商回复:

 

漏洞Rank:15 (WooYun评价)

最新状态:

暂无


本文标签:

版权声明:若无特殊注明,本文皆为《安三》原创,转载请保留文章出处。『鹦鹉搜索』

百度收录:百度已收录『查看详情』

本文链接:拉卡拉某系统配置不当导致查看用户登录弱口令/命令执行 - https://www.15qq.cn/wooyun/877.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

允许邮件通知