当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-033325

漏洞标题:弱口令引发的血案之暴风数据库篇

相关厂商:暴风影音

漏洞作者: niliu

提交时间:2013-08-02 16:42

修复时间:2013-09-16 16:43

公开时间:2013-09-16 16:43

漏洞类型:服务弱口令

危害等级:中

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-08-02: 细节已通知厂商并且等待厂商处理中
2013-08-02: 厂商已经确认,细节仅向厂商公开
2013-08-12: 细节向核心白帽子及相关领域专家公开
2013-08-22: 细节向普通白帽子公开
2013-09-01: 细节向实习白帽子公开
2013-09-16: 细节向公众公开

简要描述:

弱口令啊.....数据库啊....

详细说明:

从集群监视系统里发现数据仓库phphiveadmin地址:

http://114.112.82.74/


弱口令 admin 123456
可操作可创建可修改可删除数据库.....

2222.jpg


3d_action
action
active
active2
active5
active_express
active_ipad
active_station
ad_kucun
ad_xieshang
adaction
adclick
addl
admarquee
adpv
adver_db
adver_online_vv
asf
associate
bbinding
bfusertag
binstall
boxlist
boxlist_download
boxlist_tips
cainingna
click
cms
codetable
custom
daily
daily5
data_magic
default
directshow
dm_copyright_vv
dm_online
dm_vv
drm
dzone2
error
error5
errorcode
errorv
explorer
express
face_action
feedback
hawaii
history
history_ver
houyi
ie_action
install_action
kucun
lefteye_action
list
listlog
lvv
mactive
mdaily
mdaily_count
mdownload
media
merror
midinfo
midinfo_downsucc
mlvv
mneterror
mobiletype
monitor_asf
movie_box_source
moviebox
msearch
mvv
ninstall_action
p2plist_download
ploy
plugin3
pop
pv
rightear_action
runinuser
runinuser_ver
second
shortcuts
storm
subtitle
succe
test
tips
tips_test_action
tree
tree_search
ugc
ui
update_action
update_status
update_tips
user_config
vv
vv_ipad
vv_iphone
vv_play_album_day
vv_ui
vv_uid
vv_uid_aid_tj
vv_uid_type_ver
y2click
yactive
yclick
yesterday
yesterday_servo_active5
yesterday_ver
ylclick
ylspeed
ypv
yvv
zhuanma


555555.jpg


77777.jpg


888888.jpg

漏洞证明:

如上,就不过多截图了,未进行任何恶意操作..

修复方案:

强壮密码,对外网禁止访问吧...
求礼物!求高rank!

版权声明:转载请注明来源 niliu@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:9

确认时间:2013-08-02 17:40

厂商回复:

感谢您发现并提供漏洞信息,我们正在修复漏洞,稍后为您送出一份礼物谢谢~!

最新状态:

暂无


漏洞评价:

评论

  1. 2013-08-02 16:47 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    看作案手法,肯定是同一凶手所为,这又是一起连环凶案啊。

  2. 2013-08-02 16:48 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    @鬼魅羊羔 少年果然好眼力!

  3. 2013-08-02 16:51 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    @niliu 这些我在内网里都看到了

  4. 2013-08-02 16:53 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    @Valo洛洛 原来你就是暴风的运维啊....

  5. 2013-08-02 16:56 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    @niliu 没有,我从内网搞了一下,等会发洞

  6. 2013-08-02 16:58 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @Valo洛洛 感动啊

  7. 2013-08-02 17:03 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    @疯狗 难道说我跟xsser的阴谋你都知道?

  8. 2013-08-02 17:08 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    看楼上,这个社会到处都是黑幕啊!

  9. 2013-08-02 17:14 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    @Valo洛洛 @疯狗 @鬼魅羊羔 今天暴风美眉说礼物发了,我说你就是传说中的客服美眉。。她淡定的回了一句 我是商务部的。。

  10. 2013-08-02 17:18 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    @Valo洛洛 啥阴谋?

  11. 2013-08-02 17:25 | 超人不会飞 ( 实习白帽子 | Rank:85 漏洞数:24 | 好好学习,天天向上!)

    @mango 表示收到了礼物,礼物的造型很奇葩 。

  12. 2013-08-02 17:29 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    @超人不会飞 是什么?自慰器?充气娃娃?

  13. 2013-08-02 17:34 | 超人不会飞 ( 实习白帽子 | Rank:85 漏洞数:24 | 好好学习,天天向上!)

    @mango 到了你就知道 多功能哦!

  14. 2013-08-02 17:38 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    @超人不会飞 期待哦

  15. 2013-08-02 17:43 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    咱也有奇葩造型小礼物咯~

  16. 2013-08-03 01:47 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @mango 贱人,搭讪失败了吧。。。

  17. 2013-08-03 08:00 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    @鬼魅羊羔 - -