当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-042472

漏洞标题:万达#2又一信息泄露导致平台被控

相关厂商:大连万达集团股份有限公司

漏洞作者: N1ghtM4re

提交时间:2013-11-10 15:18

修复时间:2013-12-25 15:18

公开时间:2013-12-25 15:18

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-11-10: 细节已通知厂商并且等待厂商处理中
2013-11-11: 厂商已经确认,细节仅向厂商公开
2013-11-21: 细节向核心白帽子及相关领域专家公开
2013-12-01: 细节向普通白帽子公开
2013-12-11: 细节向实习白帽子公开
2013-12-25: 细节向公众公开

简要描述:

信息泄露

详细说明:

既然万达确认这么快,就再来一个监控平台漏洞,同样的敏感信息泄露,同样控制了该系统
http://58.83.219.72/

20131109162953.gif


1#phpinfo信息

20131109161933.gif


2#日志信息

20131109161833.gif


好多天的用户登录的记录信息,可以直接访问

20131109162850.gif


泄露了登用用户名,ip等,这没有危害吗?字典啊,这是多么好的制作字典的素材啊
我就不用字典扫描了,手工试几个账号吧
dongkun1/123456
guotianqi/123456
lfsupport/123456
推测好多账号的密码都是123456

20131110094515.gif


这次监控的更多啊,而且很多都是在线状态(没有安装监控软件的插件所以没法看到)
万达在建的工程好多啊!

20131110094711.gif


管理员这样的敏感信息还是要屏蔽的啊,另外密码也要改改吧

漏洞证明:

20131110094515.gif


这次监控的更多啊,而且很多都是在线状态(没有安装监控软件的插件所以没法看到)
万达在建的工程好多啊!

20131110094711.gif

修复方案:

屏蔽敏感信息,修改密码

版权声明:转载请注明来源 N1ghtM4re@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-11-11 09:42

厂商回复:

感谢N1ghtM4re同学的关注与贡献!此漏洞确认存在,已通知业务单位整改!

最新状态:

暂无


漏洞评价:

评论

  1. 2013-11-11 19:00 | 大连万达集团(乌云厂商)

    @N1ghtM4re,私信留个Q联系一下