当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-07492

漏洞标题:李锦记官网[非漏洞]入侵

相关厂商:李锦记官网

漏洞作者: CnCxzSec(衰仔)

提交时间:2012-05-24 18:50

修复时间:2012-07-08 18:51

公开时间:2012-07-08 18:51

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-05-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-07-08: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

下午爆出来某酱油有问题,当然不是李锦记了:)
兴起就看了下李锦记的官网,结果发现了有意思的东西。
本次入侵没有利用任何程序漏洞,如果说有漏洞,那就是“人的漏洞”。这也是我们目前认为比较难处理和修复的漏洞。
没技术含量,作为典型案例,发到乌云,希望能起一个警醒他人的作用。

详细说明:

李锦记系列网站有很多分站,还有弄一些APP开发比赛啥的。


某分站下存在“说明.txt”文件,http://cookingdaren.lkk.com:8083/说明.txt,打开后,就亮瞎我的狗眼了。管理员把聊天记录、笔记都放在上面了。直接搜索“密码”,“pwd”等字段,意外惊喜。
官方微博账号密码


服务器账号密码


利用以上信息,成功登陆官方微博及服务器远程桌面



done

漏洞证明:

同上

修复方案:

人的漏洞,你说怎么办?

版权声明:转载请注明来源 CnCxzSec(衰仔)@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:10 (WooYun评价)


漏洞评价:

评论

  1. 2012-05-25 12:00 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    通过客服这些获得密码?又尼玛明文密码了还是通过获取一些资料进行渗透而得到密码?

  2. 2012-05-29 16:35 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    真的难以用言语表达,就这样被人不屑的案例就正在发生着,引以为戒啊。

  3. 2012-06-01 17:48 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

    坐等真相呀

  4. 2012-07-08 23:45 | 『 Change_era 』 ( 路人 | Rank:18 漏洞数:1 | 追逐时代的脚步,奋斗向上,努力先前进。)

    表示无奈,厂商竟然不回应,还开这个网站来做什?

  5. 2012-07-09 09:21 | Wdot ( 实习白帽子 | Rank:77 漏洞数:12 | it came too later)

    我代表蛋蛋们表示很疼

  6. 2012-09-22 12:08 | 我勒个去 ( 实习白帽子 | Rank:98 漏洞数:8 | 我勒个去)

    C段查询用的啥工具?

  7. 2012-11-05 00:57 | 蓝风 ( 普通白帽子 | Rank:125 漏洞数:25 | 崬汸慾哓 嗼檤焄垳皁 沓猵圊屾亾沬荖 颩憬...)

    @我勒个去 御剑

  8. 2012-11-08 17:04 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @我勒个去 菜刀

  9. 2012-12-06 10:47 | Nimda ( 路人 | Rank:13 漏洞数:3 | 人的欲望就是一个超级大坑,永远也填不满。...)

    拒绝,牛逼

  10. 2013-03-22 17:30 | 哎呀 ( 实习白帽子 | Rank:79 漏洞数:10 | 忙啊!!!)

    厂商牛逼的说!!

  11. 2013-06-14 20:33 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    安全意识太niubi了

  12. 2013-09-06 16:38 | 子默不语 ( 路人 | Rank:20 漏洞数:4 | 习惯夜的黑 享受寂寞)

    尼玛 这坑爹啊 意识啊