当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-09405

漏洞标题:新浪敏感信息泄漏导致进入后台

相关厂商:新浪

漏洞作者: zhk

提交时间:2012-07-10 08:46

修复时间:2012-08-24 08:46

公开时间:2012-08-24 08:46

漏洞类型:账户体系控制不严

危害等级:中

自评Rank:7

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-07-10: 细节已通知厂商并且等待厂商处理中
2012-07-10: 厂商已经确认,细节仅向厂商公开
2012-07-20: 细节向核心白帽子及相关领域专家公开
2012-07-30: 细节向普通白帽子公开
2012-08-09: 细节向实习白帽子公开
2012-08-24: 细节向公众公开

简要描述:

新浪敏感信息泄漏

详细说明:

http://i0.sinaimg.cn/ty/up/2007-07-25/U1165P6T64D35127F1322DT20080124105556.txt
看时间应该是很久了,不过仍有些登得上去

现有播客帐户:
sportsvideo
sports狂人
中发白听
小晖无极限:台球视频
小黄瓜加油:黄健翔
湖南卫视快乐2008 
--------------------------------
图片值班:
图片:
EPA地址 202.106.184.192      登陆:dpa           密码:Mncrrp3E
法新图:http://www.imageforum2.afp.com
  法新图片的奥运专线和日常帐号密码变更,
User: SINA-OLYMPICS
Password: TROPHY
User: SINACOM
Password: LEADER
http://beta.gettyimages.com 
GETTY:https://editorial.gettyimages.com/source/account/signin.aspx?ReturnUrl=/MS_GINS/source/home/home.aspx?pg=1
用户名:CHINA99 密码:into87xiale
EMP:http://www.esp.empics.com    用户名:sina2008     密码:wenjin
路透图:http://pictures.reuters.com/rpa/     id:CNF600
password:welcome123
http://www.chinafotopress.com/html/doha2006/login.php 
用户名-sinayyh 密码-sinayyh2006
美联社: 美联社:  http://apimages.ap.org
> 
> User Name: newsn@staff.sina.com.cn
> code name:sinanews 
超景图片: http://www.risphotos.com/signin.asp       CHINA99    27112002A
EMPICS:   http://www.esp.empics.com     sina2008     wenjin 
中文图片
中国图片库:  http://www.icpress.cn/  sinsports  sportscn
OSPORTS:  http://www.osports.cn/     liulan.xinlang XinlangLiulan
中体图片:  http://www.sportsphoto.cn/  si2004     si2004
新华补报:  http://202.84.17.102/user.htm    bjxlw 
NEWSPHOTO: http://www.newsphoto.com.cn/app/index.asp   sina    sina9988
PHOTOCOME:  http://www.chinafotopress.com/   sinasport   fengbao1
http://www.chinafotopress.com/index/topicshow?tpid=7824
帐号:yanklg77
密码:20060101
http://www.cnimaging.com 用户名:新浪 密码:sina 
CFP羽毛球超级赛全年和汤尤杯图片专线,不限量。大家别用公用账户下这里的图,值班编辑转告图片编辑。
用户名:sinabadminton
密  码:123456
专题所在的位置是:http://www.chinafotopress.com/index/topicone?tpid=9138
国内滚动:
中新外部:http://www.chinanews.com.cn/sports.html
中新供稿:http://202.108.44.27:6666/login.htm   ID:sina  PW:sinasun
新华供稿:http://202.84.17.78:7777/login.htm   ID:sina PW:sinasports
新华滚动:http://www.xinhuanet.com/sports/index.htm
新华抓战
--------------------------------------------------------------------------------------------------------
杂七杂八:
杨导英超编辑邮箱: liuyue290810@yahoo.com.cn
上海的服务器
61.172.201.105
sntv : Fpz5VD0rA5bB1HbHbtVdeYt
  最新ftp
  ftp://218.30.114.25https://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/
  用户名:sport001
  密码:esjICh00MH
202.106.184.134
titan
Ctw432gM"vfhu2jdfGq?k4*qW  
 
备用的ftp
------------------------------------------------------------------------------------------------------
视频直播
 
    宽频权限
  sina_jb9_wt sina_jb9_dx 
  http://10.210.69.200/sina_jb9 
  >编码器发布点 TVKoo电信地址 TVKoo网通地址
  >sina_sports_tel_001 sina_sports_tel_001_dx sina_sports_tel_001_wt
  >sina_sports_tel_002 sina_sports_tel_002_dx sina_sports_tel_002_wt
  >sina_sports_tel_003 sina_sports_tel_003_dx sina_sports_tel_003_wt
  >sina_sports_cnc_001 sina_sports_cnc_001_dx sina_sports_cnc_001_wt
  >sina_sports_cnc_002 sina_sports_cnc_002_dx sina_sports_cnc_002_wt
  >sina_sports_cnc_003 sina_sports_cnc_003_dx sina_sports_cnc_003_wt
  新开的直播权限是:
  网通用户名: sina_sports_cnc 密码:AxHB9GH5P
  电信用户名: sina_sports_tel 密码:AxHB9GH5P 
  电信:
    第一行空:第二行空
  219.142.66.94:sina_sports_tel_001
  219.142.66.94:sina_sports_tel_002
  219.142.66.94:sina_sports_tel_003 
  链接样式如:mms://03vl.sina.com.cn/sina_sports_tel_001 
  对应在视频正文页宽窄带处填写的地址是:ums://60.215.128.45:7072 
  网通:
  202.108.43.135:sina_sports_cnc_001
  202.108.43.135:sina_sports_cnc_002
  202.108.43.135:sina_sports_cnc_003 
  链接样式如:mms://03vl.sina.com.cn/sina_sports_cnc_001 
  对应在视频正文页宽窄带处填写的地址是:ums://60.215.128.45:7075 
  宽带窄带都填一样 多媒体类型要选p2p
-------------------------------------------------------------------------------------------------------
  在外发布
  http://202.106.182.253/cgi-bin/sinapac.pl
  publish
  u87!qYiz 
  http://150.pub.sina.com.cn:8080/gsps/
------------------------------------------------------------------------------------------------------------
  给p2p部门传文件
  10.210.69.200
  用户名 bnuser
  密码 bn.sina.com.cn
  ums://60.215.128.45:7081,明天就在你们的聊天直播页里边放这个链接
-----------------------------------------------------------------------------------------------
  英超年票
  slccff9cz937
  bpcfe6 新密码 666666 
  意甲
  ntccfff39366
  6a9b9b 新密码 666666
  ntccffz3zcx9
  3fcxp7
  英超源流218.30.115.153/sina_yc_ch7
  意甲源流http://218.30.115.153/sina_yc_ch7
  意甲免费直播流mms://218.30.115.152/espn_ita_ch1
  英超赛程
  www.fussballdaten.de/england/2008/6/
  >英超直播大厅管理界面
  https://admin.live.pay.sina.com.cn/admin/admin_login.php
  >帐号 editor
  >密码 sXQT3FnXDjrb
  意甲直播大厅链接
  https://admin.live.pay.sina.com.cn/admin/yjadmin/admin_login.php
  >帐号 editor
  >密码 sXQT3FnXDjrb
  ESPN免费意甲直播地址对应表
  源流地址网通直播地址#电信直播地址
  espn_ita_ch1ums://60.28.175.170:7004#ums://125.64.1.9:7004
  espn_ita_ch2ums://60.28.175.171:7004#ums://218.30.13.223:7004
  espn_ita_ch3ums://202.108.43.152:7003#ums://218.30.115.154:7003
  espn_ita_ch4ums://60.28.175.170:7005#ums://125.64.1.9:7005
  espn_ita_ch5ums://60.28.175.170:7006#ums://125.64.1.9:7006
  espn_ita_ch6ums://60.28.175.170:7007#ums://125.64.1.9:7007
  espn_ita_ch7ums://60.28.175.170:7008#ums://125.64.1.9:7008
  espn_ita_ch8ums://60.28.175.170:7009#ums://125.64.1.9:7009
  房间广播管理
  livecast.sina.com.cn/InfoLive/
  livecastadmin
  helloadminpassword
  体育 -> epltv_notice
  密码 epltvnoticepassword
  体育 -> itatv_notice
  密码 itatvnoticepassword
  由于ESPN方面卫星信号传输故障,意甲免费直播暂时无信号提供,目前各方面还在积极调试中,敬请关注,为您带来的不便新浪表示歉意。
  由于天气原因导致卫星信号微弱,可能影响比赛直播效果,为您带来的不便新浪表示歉意。
  由于阿森纳VS曼联比赛的新浪国语解说(董路、周枫)信号不够稳定,推荐网友观看其他两个解说版本 天盛国语(苏东、苏元奎) 或 天盛粤
  语(何辉、陈维聪)。 
  比赛直播过程中可能会有1-3分钟的延时,请您耐心等待。
  由于卫星信号原因,曼联VS米堡的比赛暂时无现场音,敬请原谅
  wangfan1
  666666
  15分钟直播,2个小时进场
  直播正在直播 立即观看
  进场即将开赛 提前进场
  提前验票即将开赛 提前验票
  等待届时直播 敬请关注
  隐藏见鬼去了 见鬼去了
  四分钟的比赛集锦,在每场比赛结束后2小时左右提供;
  15分钟的top10 集锦在本轮比赛后4小时左右提供。
  以下为获取意甲集锦的FTP地址及帐号信息:
  IP: 219.133.55.202
  Port: 21
  Username: sinadown
  Password: sS11&67#d
  IP:124.243.201.173
  Port: 22
  User:wintvshare
  Password:12345
  精选目录
  ftp://210.192.114.189
  AccountName : SerieAvideo
  Password : SerieAvideoESPN
  以下为获取英超集锦的地址及帐号信息:
  www.plvideo.premiumtv.co.uk/premierLeague/login.html
  sina
  sina1
  www.plvideo.premiumtv.co.uk
  Login: ptvguest
  Password: visitor
  对此帐号访问有任何问题请联系我们的工程师:丛军伟 13810026936
  mms://218.30.115.152/espn_ita_ch1
  sports.sina.com.cn/itatv/free-u-live.shtml?id=YJ04-SPRN
  欧冠比赛直播地址对应关系
  源流地址 电信地址 网通地址
  sina_uefa_ch1 ums://125.64.1.9:7000 ums://60.28.175.170:7000
  sina_uefa_ch2 ums://125.64.1.9:7001 ums://60.28.175.170:7001
  sina_uefa_ch3 ums://125.64.1.9:7002 ums://60.28.175.170:7002
  sina_uefa_ch4 ums://125.64.1.9:7003 ums://60.28.175.170:7003
  sina_uefa_ch5 ums://218.30.13.223:7000 ums://60.28.175.171:7000
  sina_uefa_ch6 ums://218.30.13.223:7001 ums://60.28.175.171:7001
  sina_uefa_ch7 ums://218.30.13.223:7002 ums://60.28.175.171:7002
  sina_uefa_ch8 ums://218.30.13.223:7003 ums://60.28.175.171:7003

漏洞证明:

修复方案:

删除,改密码

版权声明:转载请注明来源 zhk@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-07-10 10:08

厂商回复:

多谢提供,此站点属于下线中的站点,马上联系相关人员进行处理。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-08-24 20:02 | 245661320 ( 路人 | Rank:1 漏洞数:3 | 永无边境的黑暗!)

    我去 这个亮了