当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-076822

漏洞标题:一汽大众微信公众号绑定服务器数据库弱口令

相关厂商:一汽大众

漏洞作者: mozzie

提交时间:2014-09-21 21:15

修复时间:2014-11-05 21:18

公开时间:2014-11-05 21:18

漏洞类型:服务弱口令

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-21: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-11-05: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

一汽大众微信公众号绑定的服务器数据库存在弱口令导致服务器沦陷,进一步可以控制微信公众号信息

详细说明:

现在微信公众平台可以让开发者绑定自己的服务器进行平台信息的处理,或者通过一些图文连接跳转到自己服务器上进行一些信息的展示。但由于这些入口相对隐蔽,所以许多问题都被忽视掉了。

8.png


进入一汽大众公众号

1.png


选择一下车型信息,发现跳转到一个连接,选择用ie打开

2.png


3.png


我们发现一个服务器地址
随便在后面加一个phpmyadmin发现可以访问,试下root root密码错误,root dazhong进去了

4.png


直接写一个一句话木马到服务器

5.png


顺便访问了下首页只有一个登录按钮

6.png


试了下dazhong dazhong 又进去了

7.png


像是一个公众号的管理平台,能改自动回复,文章什么的,还是有一定影响的吧,毕竟是官方微信

漏洞证明:

5.png

修复方案:

修改密码

版权声明:转载请注明来源 mozzie@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2014-09-22 11:29 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    不错啊,给我发条优惠信息,polo优惠价1万起。

  2. 2014-09-24 11:46 | 小卖部部长 ( 路人 | Rank:24 漏洞数:3 | 别拿部长不当干部!)

    直接关注微信送辉腾~~~还顶配的!

  3. 2014-11-06 08:40 | 铁汉 ( 路人 | Rank:12 漏洞数:6 | 向各种大神学习之)

    居然是这个系统后台