某图书管理系统存在默认口令导致getshell

2014-05-15T00:00:00
ID SSV:95702
Type seebug
Reporter Root
Modified 2014-05-15T00:00:00

Description

简要描述:

图书管理系统自带tomcat存在默认管理员口令,可以直接getshell,影响大量图书管理馆

详细说明:

自带tomcat系统存在默认管理员账号:

<img src="https://images.seebug.org/upload/201405/1509301199e239d8cc687ae243dee51c2006ae96.jpg" alt="11.jpg" width="600" onerror="javascript:errimg(this);">

可以登录tomcat,直接上传webshell

漏洞证明:

intitle:博云非书资料管理系统 inurl:poweb

<img src="https://images.seebug.org/upload/201405/150934526fafc439952a45a71b6cda6fbd8740f3.jpg" alt="13.jpg" width="600" onerror="javascript:errimg(this);">

<img src="https://images.seebug.org/upload/201405/150935090948462e40ee5df9c4d51505605e269d.jpg" alt="133.jpg" width="600" onerror="javascript:errimg(this);">

可以发现大量图书馆使用了该系统,都可以登录tomcat后台,上传webshell:

<img src="https://images.seebug.org/upload/201405/15093530b291adc312ded5c964a36397fb223b56.jpg" alt="12.jpg" width="600" onerror="javascript:errimg(this);">