当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-041315

漏洞标题:人人乐购服务器配置不当敏感信息泄漏

相关厂商:人人乐购

漏洞作者: 盈盈无绪

提交时间:2013-10-29 15:08

修复时间:2013-12-13 15:09

公开时间:2013-12-13 15:09

漏洞类型:系统/服务运维配置不当

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-10-29: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-12-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

人人乐购 服务器配置不当,敏感信息泄漏

详细说明:

rsync  211.162.125.104::rrl/
drwxrwxr--        8192 2013/10/17 03:00:35 .
-rwxr--r--   487634087 2012/12/10 16:34:40 20121210.rar
-rwxr--r--   493897107 2012/12/18 14:26:31 20121218.rar
-rwxr--r--   498737746 2012/12/26 09:38:53 20121226.rar
-rwxr--r--  1438367915 2013/03/26 18:03:05 Batch.tar
-rwxrwxrwx  5461966999 2013/04/03 22:59:49 WebSite0403.rar
-rwxrwxrwx  5466845020 2013/04/08 22:39:20 WebSite0408.rar
-rwxrwxrwx  5500256474 2013/04/15 22:45:44 WebSite0415.rar
-rwxr--r--  4414065935 2013/03/26 17:48:22 product.gz
-rwxr--r--  2975665828 2013/03/26 18:05:37 product.tar.gz
drwxr--r--           0 2013/06/20 17:38:17 $RECYCLE.BIN
drwxr--r--           0 2013/05/15 11:12:23 Backup
drwxrwxr--        4096 2013/05/15 08:55:21 DeltaCopy
drwxr--r--           0 2013/05/29 14:40:05 ImageSite
drwxrwxr--           0 2013/05/30 03:18:09 System Volume Information
drwxrwxrwx       28672 2013/06/14 13:50:31 WebSite.bak
drwxr--r--       32768 2013/10/28 22:04:27 WebSite
drwxrwxrwx           0 2013/06/14 14:06:21 WebSite0415
drwxr--r--        4096 2012/08/01 16:16:53 app
drwxr--r--        4096 2012/12/26 09:55:59 bak2
drwxr--r--        4096 2012/08/01 16:19:42 client
drwxr--r--    33816576 2013/03/26 15:36:32 product
drwxrwxrwx       65536 2013/08/15 18:04:18 zt


大多数目录有上传文件权限,对win不熟悉,就不浪费时间了。
直接用http://211.162.125.104/ 可以访问到的是ImageSite这个目录下的文件。

漏洞证明:

rsync  211.162.125.104::rrl/
drwxrwxr--        8192 2013/10/17 03:00:35 .
-rwxr--r--   487634087 2012/12/10 16:34:40 20121210.rar
-rwxr--r--   493897107 2012/12/18 14:26:31 20121218.rar
-rwxr--r--   498737746 2012/12/26 09:38:53 20121226.rar
-rwxr--r--  1438367915 2013/03/26 18:03:05 Batch.tar
-rwxrwxrwx  5461966999 2013/04/03 22:59:49 WebSite0403.rar
-rwxrwxrwx  5466845020 2013/04/08 22:39:20 WebSite0408.rar
-rwxrwxrwx  5500256474 2013/04/15 22:45:44 WebSite0415.rar
-rwxr--r--  4414065935 2013/03/26 17:48:22 product.gz
-rwxr--r--  2975665828 2013/03/26 18:05:37 product.tar.gz
drwxr--r--           0 2013/06/20 17:38:17 $RECYCLE.BIN
drwxr--r--           0 2013/05/15 11:12:23 Backup
drwxrwxr--        4096 2013/05/15 08:55:21 DeltaCopy
drwxr--r--           0 2013/05/29 14:40:05 ImageSite
drwxrwxr--           0 2013/05/30 03:18:09 System Volume Information
drwxrwxrwx       28672 2013/06/14 13:50:31 WebSite.bak
drwxr--r--       32768 2013/10/28 22:04:27 WebSite
drwxrwxrwx           0 2013/06/14 14:06:21 WebSite0415
drwxr--r--        4096 2012/08/01 16:16:53 app
drwxr--r--        4096 2012/12/26 09:55:59 bak2
drwxr--r--        4096 2012/08/01 16:19:42 client
drwxr--r--    33816576 2013/03/26 15:36:32 product
drwxrwxrwx       65536 2013/08/15 18:04:18 zt


大多数目录有上传文件权限,对win不熟悉,就不浪费时间了。

修复方案:

你们懂得

版权声明:转载请注明来源 盈盈无绪@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2013-10-31 09:11 | 刺刺 ( 普通白帽子 | Rank:603 漏洞数:52 | 真正的安全并不是技术,而是人类善良的心灵...)

    当时觉得是小厂商,直接将发现的rrlgou相关问题给他们发weibo私信了。不过都到月底了也没有见他们修改过。网站的问题太明显太简单,很多黑阔在上面留下了足迹。应该是万户的程序……呵呵