杭州潮流公司虚拟主机业务平台系统漏洞(通杀)

漏洞平台：潮流公司虚拟主机业务平台系统

平台版本：通杀所有版本

漏洞名称：权限设置不严格

危害程度：★★★☆☆

****************************************************************
公司简介
　　杭州潮流信息技术公司是国内一家专业的电信级软件产品服务提供商，主要专注于为国内电信运营商提供Internet系统软件，是面向电信运营商提供电信级软件产品、技术支持、服务的高新技术企业。公司1999年成立，注册于浙江杭州高新区，其软件研发中心设在成都。
公司拥有一批高技术水平人员，其中有博士、硕士研究生、双学位、全国重点大学本科学历的技术开发人员占公司总人数70%以上。公司核心、技术骨干自中国互联网出现伊始就活跃在该领域，主要软件开发工程师具有多年的电信ISP工作经验。
他们公司网站http://www.tideinfo.com.cn

****************************************************************

漏洞简介:

权限设置不严格.入侵者可通过此漏洞拿到webshell.然后拿到整个服务器

****************************************************************

具体点说呢，其实很简单的。这一套系统有一个配置文件，里面有FTP的ROOT密码和MSSQL的帐号和密码（当然是SA权限的）。这个文件的名字是Z_Tide.ini ，在system32目录下，而这个system32目录并没有做什么限制，我们只要搞到系统上面的网站中的一个webshell，就能看到Z_Tide.ini。有了SA权限的MSSQL帐号了。还有什么不能做的呢？

http://www.tideinfo.com.cn/contents/cases/cases.htm 这里有应用他们公司的系统的公司的名单。全都是电信级的哦。配置都很不错。