当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-082701

漏洞标题:百度敏感信息泄露(开发代码、流程规划、内网大量密码等)

相关厂商:百度

漏洞作者: 鸟云厂商

提交时间:2014-11-09 21:17

修复时间:2014-12-24 21:18

公开时间:2014-12-24 21:18

漏洞类型:内部绝密信息泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-11-09: 细节已通知厂商并且等待厂商处理中
2014-11-10: 厂商已经确认,细节仅向厂商公开
2014-11-20: 细节向核心白帽子及相关领域专家公开
2014-11-30: 细节向普通白帽子公开
2014-12-10: 细节向实习白帽子公开
2014-12-24: 细节向公众公开

简要描述:

百度敏感信息泄露(开发代码、流程规划、内网大量密码等),还能查看内网扫描器扫描出的漏洞。

详细说明:

百度邮箱用户名liyubei
密码zhen***@^@262
成功登陆
大量敏感信息

------------------------------------------------------------------------------
liyubei 您好,您的门神系统帐号已经重置
用户名:  liyubei
密码:    K*****ZO
******************************************************************************
登录后,请尽快修改个人密码,更改方法如下:
输入 kpasswd "你的名字", 提示输入当前密码(老密码),输入正确后,再输入两边新的密码就可以更改了.
密码需要至少含有两种不同字符,长度需要超过8位
----------------------------------------------------


目前ADRC主库存在以下空密码账户:
            +----------+--------------+----------+
             | user     | host         | password |
             +----------+--------------+----------+
             | adrcdb_w | 1***22 |          | 
             | adrcdb_w | 10.***8.23  |          | 
             | adrcdb_w | 10.***4.19  |          | 
            +----------+--------------+----------+


验收环境:
企业之窗:
先登录:http://ca*******:8477/?tpl=www2
账号:s*******1
密码:*******23
跳转链接:http://g*******88/guanba/index.html?aderId=619463
 
软贴
http://g*******8/tieba/tieba/index.html?aderId=1790920#/jn/tieba/activity_wizard~id=13044491
账号:b*******0755(广告主账号)
密码:12*******56
账号:a*******on(管理员账号)
密码:A*******3
 
官方吧
http://g*****88/tieba/sysdashboard/index.html#/jn/sysdashboard/site/activity_list
测试账号同软贴


漏洞证明:

1.jpg


2.jpg


3.jpg

修复方案:

略感讽刺。。。

4.jpg

版权声明:转载请注明来源 鸟云厂商@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-11-10 10:31

厂商回复:

感谢提交,已通知处理

最新状态:

暂无

漏洞评价:

评论

  1. 2014-11-09 21:20 | ki11y0u ( 普通白帽子 | Rank:104 漏洞数:23 | 好好学习,求带飞~~~~~~~~~~~~~~~~~~~~~~...)

    前排,留名。

  2. 2014-11-09 21:24 | zcy ( 实习白帽子 | Rank:93 漏洞数:15 )

    求百度扫描器

  3. 2014-11-09 21:26 | 鸟云厂商 认证白帽子 ( 核心白帽子 | Rank:1313 漏洞数:146 | 中国菜鸟)

    @zcy 求别说

  4. 2014-11-09 21:29 | zcy ( 实习白帽子 | Rank:93 漏洞数:15 )

    @鸟云厂商 百度敏感信息泄露(开发代码、流程规划、内网大量密码等),还能查看内网扫描器扫描出的漏洞。。你自己说的。求内网扫描器啊。你去撸了他。然后给我用用

  5. 2014-11-09 21:35 | 0x 80 ( 普通白帽子 | Rank:1301 漏洞数:398 | 某安全公司招聘系统运维、渗透测试、安全运...)

    @求啊,这个肯定好

  6. 2014-11-09 22:39 | nextdoor ( 普通白帽子 | Rank:325 漏洞数:74 )

    百度这几天怎么,怎么老是被人搞

  7. 2014-11-09 23:27 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    '求神器

  8. 2014-11-09 23:41 | Conan_Lan ( 路人 | Rank:0 漏洞数:1 | 安全爱好者)

    求神器~~

  9. 2014-11-10 01:16 | 龍 、 ( 普通白帽子 | Rank:398 漏洞数:135 | 你若安好 我就是晴天)

    '求神器

  10. 2014-11-10 06:27 | 3yst1m ( 实习白帽子 | Rank:35 漏洞数:4 | 我发现我的思路还不够猥琐)

    求日百度的神奇 不是一键操作的不要

  11. 2014-11-10 07:07 | 佩佩 ( 实习白帽子 | Rank:62 漏洞数:8 | 一个热衷于网络安全的白帽子,具有很强的逻...)

    百度神奇走一走!

  12. 2014-11-10 07:15 | 狂人 ( 实习白帽子 | Rank:88 漏洞数:13 | Rank:999999999 漏洞数:999999999 | 小学生...)

    一键入侵百度谷歌腾讯工具,下载地址:www.baidu.com

  13. 2014-11-10 07:57 | 大脸娃娃 ( 路人 | Rank:20 漏洞数:4 | 莫西莫西 呼啦嘚)

    求百度神器!

  14. 2014-11-10 08:28 | Taro ( 普通白帽子 | Rank:178 漏洞数:48 | 走向最远的方向,哪怕前路迷茫;抱着最大的...)

    这两天大牛都在日百度,求方法

  15. 2014-11-10 08:28 | ki11y0u ( 普通白帽子 | Rank:104 漏洞数:23 | 好好学习,求带飞~~~~~~~~~~~~~~~~~~~~~~...)

    @乌云厂商 求神器~

  16. 2014-11-10 11:11 | Yang ( 普通白帽子 | Rank:247 漏洞数:86 | 作为菜鸟,大米手机摔破了怎么办?)

    百度神器!!!

  17. 2014-11-10 11:50 | 路人N ( 路人 | Rank:12 漏洞数:8 )

    @鸟云厂商 求裤子。。