当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-047387

漏洞标题:社工撞库进入中国时刻网社区管理系统

相关厂商:www.s1979.com

漏洞作者: 葫芦岛小弱智

提交时间:2013-12-30 11:52

修复时间:2014-03-30 11:53

公开时间:2014-03-30 11:53

漏洞类型:

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-12-30: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-03-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

通过社工撞库获得中国时刻网某管理员的其他网站的密码>尝试发现可以登陆时刻网社区账号>并且无安全提问登陆到管理中心系统>Discuz! X2.5

详细说明:

1、通过http://i.s1979.com/home.php?mod=space&uid=2&do=profile获得uid为2的管理员用户名qinrl;
2、撞库获得其网络轨迹以及历史密码,并且可以登陆其空间以及后台管理中心;
3、出于安全考量,不再继续下去;

漏洞证明:

#pic1 获取管理员用户id

1.PNG


#pic2 登陆管理员空间首页以及用户名密码<出于对管理员安全考虑,在这里做马赛克处理>

a.PNG


#pic3 登陆管理员后台页面1

b.PNG


#pic4 登陆管理员后台页面2

c.PNG


修复方案:

#修改管理员登陆密码
#控制权限
#加强运维人员安全意识(如密码使用习惯)

版权声明:转载请注明来源 葫芦岛小弱智@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:10 (WooYun评价)

漏洞评价:

评论

  1. 2014-01-01 01:07 | hydoor ( 普通白帽子 | Rank:147 漏洞数:32 | -Q)

    !!!

  2. 2014-01-02 09:58 | 葫芦岛小弱智 ( 路人 | Rank:19 漏洞数:4 | 葫芦岛小弱智)

    @hydoor 咋了?

  3. 2014-01-25 20:49 | 微尘 ( 普通白帽子 | Rank:218 漏洞数:74 )

    @葫芦岛小弱智 弱弱的问。如何撞入。。