频道栏目
首页 > 安全 > 网站安全 > 正文
运动加加(注册服务器)官网Getshell(含数据库信息以及配置)
2015-03-31 10:35:49         来源:路人甲  
收藏   我要投稿

#运智互动是中国智能电视游戏领域的先行者与开拓者。从2009年成立至今,我们的主要产品“运动加加”已经成为领域内最受欢迎,且安装量最高的体感游戏。
#运动加加(注册服务器)官网Getshell!

https://account.jiajia.tv:8080/register/webapp/siteEnter.action
官网存在Struts2命令执行安全漏洞,可以让黑客获取Webshell权限


 

1.png



0x01:
 

register/getpwd.html 注册页面
prjBackendService\login.jsp 后台管理
chaxun/login.html 查询页面


0x02:
 

一处数据库:
url =jdbc:sqlserver://58.211.17.34:1433;DatabaseName=qooqer
driver=com.microsoft.sqlserver.jdbc.SQLServerDriver
user=activ8
password=021021021

二处密码文件:
String Pwd="forfun";

三处异常:
webapp\其下部分目录出现异常,自己查看
越权访问:https://account.jiajia.tv:8080/register/
#另外服务器还有几匹“马”,管理员自行排查!

解决方案:

过滤!

点击复制链接 与好友分享!回本站首页
上一篇:天极网某分站存在SQL盲注漏洞
下一篇:中兴某子公司商城APP应用任意用户密码重置及越权访问大量敏感信息
相关文章
图文推荐
点击排行

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站