记一次js泄露pass获取核心业务
文章目录
-
-
- 一、漏洞原因
- 二、漏洞成果
- 三、漏洞利用过程
-
- 1.js泄露口令信息
- 2、进入系统后台,管理数据库权限(22个)
- 3、执行命令获取服务器权限
- 4、通过添加扫描脚本,获取存活的内网信息
- 四、免责声明
-
一、漏洞原因
- 系统存在js泄露口令信息,获取系统超级管理员权限。
- 系统为核心数据研发平台可管控22个数据库,可获取数据库密码等信息,对数据库表等可操作;
- 获取root权限主机,为双网卡内网主机,进入逻辑隔离内网。
二、漏洞成果
- 系统存在js泄露口令信息,获取系统超级管理员权限。
- 系统为核心数据研发平台可管控22个数据库,可获取数据库密码等信息,对数据库表等可操作;
- 获取root权限主机,为双网卡内网主机,进入逻辑隔离内网。
三、漏洞利用过程
1.js泄露口令信息
2、进入系统后台,管理数据库权限(22个)
