帅康集团某视频会议服务器存在SQL注入漏洞

  帅康集团某视频会议服务器存在SQL注入漏洞,可getshell进内网,同时大量信息泄露(包含经销商,各地区代理账户密码)

  帅康集团公司主要生产高档吸油烟机、燃气灶具、消毒柜、电热水器、太阳能热水器、燃气热水器、现代橱柜、集成吊顶、净水器、微波炉、蒸汽炉、烤箱及水槽等10多个系列1200多个规格的厨电和卫浴产品,是国内系列最全、规模最大的厨卫家电制造基地之一。帅康系列产品中有23项产品属国际领先水平,35项居国际先进行列,56项填补国内空白。帅康系列产品已经出口到美国、德国、日本等全球近50多个国家和地区,其中帅康健康型厨电产品还获得德国政府的补贴。(来自百度百科)

  漏洞地址

  http://**.**.**.**:443/Conf/jsp/main/mainAction.do

帅康集团某视频会议服务器存在SQL注入漏洞

  参考

  http://**.**.**.**/bugs/wooyun-2010-0143276

  上大马getshell

帅康集团某视频会议服务器存在SQL注入漏洞

  shell地址为

  http://**.**.**.**:443/wooyun.jsp

  密码:helloworld

帅康集团某视频会议服务器存在SQL注入漏洞

  已在内网中

帅康集团某视频会议服务器存在SQL注入漏洞

  然后发现了大量用户信息,代理商的,办事处的,应该是个数据库备份,挺大的,就截图了几张。

帅康集团某视频会议服务器存在SQL注入漏洞

帅康集团某视频会议服务器存在SQL注入漏洞

帅康集团某视频会议服务器存在SQL注入漏洞

  用找到的用户名密码登陆了下视频会议系统,果然可以~

帅康集团某视频会议服务器存在SQL注入漏洞

  公司开了不少会啊2016年~要是别人进去旁听一下,也算是泄露机密吧?

  大概就这么些吧~

  解决方案

  升级系统,打补丁吧!

发表评论