当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-021651

漏洞标题:中国电信互联星空-读览天下分站存在弱口令漏洞,成功登录后台

相关厂商:读览天下

漏洞作者: wefgod

提交时间:2013-04-12 21:25

修复时间:2013-06-14 10:45

公开时间:2013-06-14 10:45

漏洞类型:后台弱口令

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-04-12: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-06-14: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

想转给cert但是厂商里面选不了他?猜了下密码,谁知道猜对了!其它请看详细。

详细说明:

存在问题的站点链接如下:
http://gdvnetadmin.dooland.com/

1.jpg


后台地址:
http://gdvnet.dooland.com/admin/

2.jpg


漏洞证明:

结合域名,猜测了下弱口令(域名+888好多地方都可以用啊!), admin/gdvnetadmin888成功登录后台,截图如下:

3.jpg


4.jpg


为了避免影响站点的业务,没有进行其它操作

修复方案:

修改弱口令。

版权声明:转载请注明来源 wefgod@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2013-04-15 08:30 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @cncert国家互联网应急中心 这个不归cert管吗?

  2. 2013-04-15 11:04 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @xsser 话说不知道后台哪位哥们编辑的时候把漏洞标题编辑错了,少了一个字?存?存在?

  3. 2013-04-16 08:42 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    我想改标题改不了啊,冤枉啊

  4. 2013-04-17 17:22 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    @wefgod 洗洗睡吧

  5. 2013-04-17 17:31 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @Passer_by 尼玛

  6. 2013-04-22 16:57 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @cncert国家互联网应急中心 哥们……