漏洞标题 网易163一个系统的Gethell 相关制造商 网易 漏洞作者 Aasron 提交时间 2016-04-27 17: 12 公共时间 2016-06-13 11: 10 漏洞类型 命令执行 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 Webshell，补丁不及时，远程命令执行，第三方框架，远程代码执行 漏洞详细信息 http://ent.ws.netease.com/admin/login.do 存在最新的命令执行漏洞 漏洞证明： Eth0链接封装:以太网HWaddr 00: 16: 3e: 49: b6: 97 Inet addr: 123.126.62.92 Bcast: 123.126.62.255掩码: 255.255.255.0 Inet6 addr: fe80: 216: 3eff: fe49: b697/64范围:链接 UP BROADCAST RUNNING MULTICAST MTU: 1500公制: 1 从对等方接收数据时失败 UP BROADCAST RUNNING MULTICAST MTU: 1500公制: 1 RX数据包: 40345695659错误: 0丢弃: 0溢出: 0帧: 0 TX包: 1978460539错误: 0丢弃: 0溢出: 0载波: 0 碰撞: 0 txqueuelen: 1000 RX字节: 8566624616610（7.7 TiB）TX字节: 3454086760863（3.1 TiB） 中断: 21 Lo Link encap: Local Loopback Inet addr: 127.0.0.1掩码: 255.0.0.0 Inet6 addr: 1/128范围:主机 UP LOOPBACK RUNNING MTU: 16436公制: 1 RX数据包: 47116414错误: 0丢弃: 0溢出: 0帧: 0 TX包: 47116414错误: 0丢弃: 0溢出: 0载波: 0 碰撞: 0 txqueuelen: 0 RX字节: 3820735178（3.5 GiB）TX字节: 3820735178（3.5 GiB） 壳路径 /home/workspace/ent_product/release-current/dist/webapp/1.jsp CONF/password.xml 树脂admin.xml的 APP-default.xml中 Development.conf Minimal.conf Password.xml 树脂3_1.conf 树脂admin.xml的 resin.conf中 修理计划： 补丁 版权声明：请注明出处Aasron @乌云