12306某站远程命令执行

编号203178
Urlhttp://www.wooyun.org/bug.php?action=view&id=203178
漏洞状态厂商已经确认
漏洞标题12306某站远程命令执行
漏洞类型命令执行
厂商12306
白帽子光棍节
提交日期2016-04-28 20:03:00
公开日期2016-06-13 15:00:00
修复时间(not set)
确认时间2016-04-29 00:00:00
Confirm Spend1
漏洞标签struts 远程命令执行
关注数0
收藏数0
白帽评级
白帽自评rank20
厂商评级
厂商评rank3
漏洞简介
12306远程命令执行漏洞
漏洞细节

12306又中枪了!

POC

存在问题的点:
http://hyfw.12306.cn/gateway/DzswD2D/Dzsw/action/FwcszsAction_initWlfwxx
论证:

1.png


2.png


3.png


4.png

修复方案

存在问题的点:
http://hyfw.12306.cn/gateway/DzswD2D/Dzsw/action/FwcszsAction_initWlfwxx
论证:

1.png


2.png


3.png


4.png

状态信息 2016-04-28: 细节已通知厂商并且等待厂商处理中
2016-04-29: 厂商已经确认,细节仅向厂商公开
2016-05-09: 细节向核心白帽子及相关领域专家公开
2016-05-19: 细节向普通白帽子公开
2016-05-29: 细节向实习白帽子公开
2016-06-13: 细节向公众公开
厂商回复漏洞确认
回应信息危害等级:低漏洞Rank:3 确认时间:2016-04-29 14:55
Showing 1-26 of 26 items.
评论内容评论人点赞数评论时间

小板凳搬好了。坐等掐架。

尼古拉斯复愁02016-06-13 15:27:00

我去是主站

Drizzle.Risk02016-05-19 21:17:00

哼,一群辣鸡,看到rank了吗?想看本海伦直播吃屎,你们做梦去吧。

sysALong02016-04-29 20:33:00

目测不是主站 不然肯定打雷了

Martial02016-04-29 12:25:00

@sysALong 坐等直播

m_vptr02016-04-29 11:37:00

@sysALong 坐等直播

tSt02016-04-29 11:34:00

@sysALong 坐等直播。。

湖南青果软件有限公司02016-04-29 11:31:00

哈哈,

j14n02016-04-29 11:28:00

坐等直播。。23333

恶魔小西瓜02016-04-29 11:27:00

围观群众,坐等5L直播,放出直播平台

小苹果02016-04-29 11:03:00

@sysALong 坐等直播

yangge02016-04-29 10:43:00

坐等直播

40302016-04-29 10:17:00

@sysALong 坐等→_→

blnxz02016-04-29 09:23:00

5L 小心屎有毒,现在吃屎也不安全了

光头强吃翔02016-04-29 09:00:00

这就尴尬了·······

木易02016-04-29 08:54:00

坐等直播。。23333

prolog02016-04-29 08:53:00

mark

sky66602016-04-29 03:23:00

坐等直播。。23333

Robot-MD502016-04-29 01:19:00

坐等

习总夸我好青年02016-04-29 00:57:00

@sysALong 真的是主站

光棍节02016-04-29 00:25:00

@sysALong 先关注一波

我叫肥羊02016-04-28 23:24:00

不用看,绝对跟主站数据一点关系没有,应该是个分站。如果影响主站,我直播吃屎

sysALong02016-04-28 22:57:00

mark

WenR002016-04-28 22:47:00

看到12306我就进来了

Raven02016-04-28 22:42:00

牛B

dafeng02016-04-28 22:21:00

mark

Drizzle.Risk02016-04-28 22:02:00