奥鹏教育某系统存在java反序列命令执行漏洞可内网

编号161414
Urlhttp://www.wooyun.org/bug.php?action=view&id=161414
漏洞状态漏洞已经通知厂商但是厂商忽略漏洞
漏洞标题奥鹏教育某系统存在java反序列命令执行漏洞可内网
漏洞类型命令执行
厂商open.com.cn
白帽子路人甲
提交日期2015-12-15 10:38:00
公开日期2015-12-16 09:54:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank20
厂商评级
厂商评rank0
漏洞简介
java反序列命令执行漏洞可内网
漏洞细节

http://211.144.154.230/loginSystem.action

QQ截图20151215101626.png


QQ截图20151215101700.png


POC

QQ截图20151215101713.png


QQ截图20151215101729.png


QQ截图20151215101737.png


shell:http://211.144.154.230/is/index.jsp
密码:023

QQ截图20151215101909.png

修复方案

补丁

状态信息 2015-12-15: 细节已通知厂商并且等待厂商处理中
2015-12-16: 厂商已经主动忽略漏洞,细节向公众公开
厂商回复这个漏洞的网站不是奥鹏远程教育中心有限公司所有。
回应信息危害等级:无影响厂商忽略忽略时间:2015-12-16 09:54
Showing 1-4 of 4 items.
评论内容评论人点赞数评论时间

@人丑嘴不甜 我也纳闷呢,这个web路径找不到..

暴走02015-12-25 16:47:00

@暴走 确定是完整路径 比如:/var/www这种,但是web路径怎么找?

人丑嘴不甜02015-12-19 16:45:00

同问!

暴走02015-12-18 16:09:00

请问web路径怎么填?完整路径吗

人丑嘴不甜02015-12-17 18:06:00