当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-035510

漏洞标题:网灵科技数据库管理配置不当导致30多万会员帐号密码泄漏

相关厂商:网灵科技

漏洞作者: admin1993

提交时间:2013-08-28 18:30

修复时间:2013-10-12 18:30

公开时间:2013-10-12 18:30

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-08-28: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-10-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

网灵科技【移动互联时代远程监控技术领跑者】phpmyadmin远程访问漏洞,后果不堪设想。

详细说明:

mysql沦陷,30多万会员帐号密码泄漏,用户隐私没保障。求礼物~~~

漏洞证明:

phpmyadmin可访问,且phpmyadmin配置不当,泄漏root帐号密码。

QQ图片20130828135348.png


.png


几十万会员帐号密码

QQ图片20130828144616.jpg


既然有几十万会员,那肯定有不少人使用旗下产品进行屏幕控制,文件传输,摄像头监控
的吧
随机找了一个会员的帐号和密码进行登录

QQ图片20130828163925.jpg


控制端正在看奥特曼 哈哈 这很有可能是家长用来监控家里孩子电脑使用情况的
会员级别高的还可以进行关机
所以危害还是蛮大的
涉及上万用户的隐私

修复方案:

设置phpmyadmin禁止访问

版权声明:转载请注明来源 admin1993@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2013-08-29 15:53 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    也就是说 洞主一下子拿到了30W的肉鸡?

  2. 2013-08-29 16:30 | admin1993 ( 普通白帽子 | Rank:110 漏洞数:39 | 0101001010010100101001010010100101001010...)

    @疯子 并不是全部的会员都安装了监控软件

  3. 2013-09-03 13:46 | ( 路人 | Rank:14 漏洞数:4 | 小夜,一个苦逼程序员)

    我和我的小伙伴惊呆嘞