世纪佳缘信息泄漏 | wooyun-2012-014327| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-014327

漏洞标题：世纪佳缘信息泄漏

漏洞作者：蓝风

提交时间：2012-11-03 23:41

修复时间：2012-12-18 23:42

公开时间：2012-12-18 23:42

漏洞类型：重要敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2012-11-03：细节已通知厂商并且等待厂商处理中
2012-11-04：厂商已经确认，细节仅向厂商公开
2012-11-14：细节向核心白帽子及相关领域专家公开
2012-11-24：细节向普通白帽子公开
2012-12-04：细节向实习白帽子公开
2012-12-18：细节向公众公开

简要描述：

世纪佳缘配置不当，导致敏感信息泄露。从而连接数据库传shell；
技术水平有限，就到此为止；求佳缘vip；求佳缘礼物；求佳缘邮票。好了就这么多吧

详细说明：

世纪佳缘配置不当，导致敏感信息泄露。从而连接数据库传shell；
技术水平有限，就到此为止；求佳缘vip；求佳缘礼物；求佳缘邮票。好了就这么多吧
这个是扫出来的。http://gojiayuan.com/1.txt

这个是泄露的：

那么这个就是连接了，https://gojiayuan.com/phpmyadmin/

这个就是路径：https://gojiayuan.com/xampp/phpinfo.php

漏洞证明：

于是，备份上传了2个shell

修复方案：

首页安全有提示：给root加个密码吧

版权声明：转载请注明来源蓝风@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2012-11-04 22:38

厂商回复：

非常感谢提醒，欢迎指出我们的工作疏漏。如果是单身，我们非常欢迎成为我们的会员，也会给作者一定的优惠服务。方便的话，请留下联系方式，或者与我们联系也可以。

漏洞评价：

2012-11-03 23:46 | 蓝风 ( 普通白帽子 | Rank:125 漏洞数:25 | 崬汸慾哓嗼檤焄垳皁沓猵圊屾亾沬荖颩憬...)

严重怀疑这个提交漏洞功能有问题。是不是很想收购世纪佳缘
2012-11-04 03:12 | cooL ( 路人 | Rank:14 漏洞数:5 | hello word)

@蓝风求佳缘vip；求佳缘礼物；求佳缘邮票。好了就这么多吧厂商回应：暂无亲太尴尬了吧脱他的库吧，哈哈！
2012-11-04 10:28 | c2sec ( 路人 | Rank:5 漏洞数:1 | 热爱网络安全)

...其余求这求那....不如求佳缘送妹子哈哈
2012-11-04 10:44 | sysALong ( 路人 | Rank:19 漏洞数:5 | 电脑里的AV片永远和电脑旁的卫生纸成 ...)

@c2sec 楼上应该是多余求着求那，直接求送妹子哈哈……………………
2012-11-04 11:09 | nucle4r ( 路人 | 还没有发布任何漏洞 | 学习学习，各种学习，求码)

还不如去日珍爱，然后上非诚勿扰...
2012-11-04 11:40 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

我最喜欢妹纸了，洞主，给我来一斤~~~
2012-11-04 23:45 | 蓝风 ( 普通白帽子 | Rank:125 漏洞数:25 | 崬汸慾哓嗼檤焄垳皁沓猵圊屾亾沬荖颩憬...)

@世纪佳缘多么优秀的厂商啊 @xsser 就应该支持这样的
2012-11-05 00:27 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

我去，这厂商太体贴了。。太贴心了。。应该让所有的厂商都效仿。啥时候能让360或者百度给介绍个女渗透选手，就好了。。
2012-11-05 09:46 | xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

多么贴心的厂商啊
2012-11-06 11:03 | cooL ( 路人 | Rank:14 漏洞数:5 | hello word)

我勒个去。。。亲记得带上我啊
2012-12-08 21:56 | 摩斯 ( 路人 | Rank:3 漏洞数:2 | 每天进步一点点！努力学习技术！)

哇莫非撸过世纪佳缘就有妹纸咯？
2012-12-19 10:19 | 路人甲 ( 实习白帽子 | Rank:31 漏洞数:4 | 最神奇的一群人，智慧低调又内敛，俗称马甲...)

开门，查水表
2012-12-19 10:35 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

如果是单身，我们非常欢迎成为我们的会员，也会给作者一定的优惠服务。方便的话，请留下联系方式，或者与我们联系也可以。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-014327

漏洞标题：世纪佳缘信息泄漏

相关厂商：世纪佳缘

漏洞作者：蓝风

提交时间：2012-11-03 23:41

修复时间：2012-12-18 23:42

公开时间：2012-12-18 23:42

漏洞类型：重要敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源蓝风@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-014327

漏洞标题： 世纪佳缘信息泄漏

相关厂商：世纪佳缘

漏洞作者： 蓝风

提交时间：2012-11-03 23:41

修复时间：2012-12-18 23:42

公开时间：2012-12-18 23:42

漏洞类型：重要敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2012-014327"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 蓝风@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞标题：世纪佳缘信息泄漏

漏洞作者：蓝风

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源蓝风@乌云