漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-08366
漏洞标题:某省服务器用户密码泄漏(电子政务大厅)
相关厂商:四川全省政务大厅
漏洞作者: 0gucci
提交时间:2012-06-16 17:54
修复时间:2012-07-31 17:55
公开时间:2012-07-31 17:55
漏洞类型:成功的入侵事件
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-06-16: 细节已通知厂商并且等待厂商处理中
2012-06-19: 厂商已经确认,细节仅向厂商公开
2012-06-29: 细节向核心白帽子及相关领域专家公开
2012-07-09: 细节向普通白帽子公开
2012-07-19: 细节向实习白帽子公开
2012-07-31: 细节向公众公开
简要描述:
甘孜州..理塘县..阿坝州.马尔康县.九寨沟县.木里.盐源.德昌.会理.会东.宁南.普格.布托.金阳.昭觉.喜德.冕宁.越西.甘洛.美姑.雷波.西昌.凉山市.东区.西区.仁和.米易.盐边.市辖区.涪城区.游仙区.三台县.盐亭县.安县.梓潼县.北川羌族自治县.平武县.江油市.巴中市.巴中区.昌县.通江县.南江县.达州市.通川区.万源县.达县.宣汉县.开江县.大竹县.渠县.广元市.元坝区.朝天区.利州区.青川县.苍溪县.旺苍县.剑阁县.江阳.古蔺.叙永.合江.龙马.纳溪.泸县.广安市.广安区.岳池县.武胜县.华蓥市.邻水县.南充市.顺庆.高坪.嘉陵.阆中.南部.西充.营山.仪陇.蓬安.遂宁市.船山区.大英.蓬溪.射洪.安居.成都市.邛崃.彭州.青白江.新津.大邑.温江.崇州.金堂.龙泉驿.双流.蒲江.郫县.新都.成华.武侯.高新.青羊.锦江.金牛.都江堰.德阳市.旌阳区.广汉市.什邡市.绵竹市.中江县.罗江县.眉山.东坡.仁寿.彭山.洪雅.丹林.青神.雅安市.雨城区.宝兴.石棉.天全.荥经.芦山.名山.资阳市.雁江区.简阳.乐至.安岳.乐山市.乐山市市中区.犍为.五通桥区政务中心.峨边 .宜宾市.翠屏区.宜宾县.南溪县.江安县.长宁县.高县.筠连县.珙县.兴文县.屏山县.自贡市.自流井区.沿滩区.贡井区.高新区.大安区.富顺.荣县.内江市 以及更多县市这里就不列出来了.四川省内所有政务电子大厅服务器都有...
详细说明:
在内网的服务器中...保存了一个txt文件.文件内储存着全省的服务器用户以及密码.我也不知道管理员想什么.可能是因为内网管理员以为没那么容易进入吧.
过程:对任意一个大厅渗透并提权获取服务器权限后.获取内网信息.登陆到该内网服务器中.
漏洞证明:
修复方案:
-_,你们比我更专业. 相信管理员应该很熟悉 副本全省服务器用户密码.xls
版权声明:转载请注明来源 0gucci@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2012-06-19 16:54
厂商回复:
CNVD通过图片确认漏洞情况,未复现,同时感谢0gucci的协助,对于各省市县子站可能存在安全隐患有待进一步跟踪。在处置过程中,与网站管理方取得联系,对方反馈已经在跟踪处置。
根据图片所示情况评估,以机密性、完整性完全影响,可用性部分影响进行评分,rank=9.67*1.0*1.5(严重)=14.505
最新状态:
暂无
( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)