当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-088027

漏洞标题:麦颂KTV终端沙盒突破(疑似连锁KTV会员信息、消费记录、收入情况等信息泄露)

相关厂商:麦颂KTV

漏洞作者: 世纪缘

提交时间:2014-12-22 15:54

修复时间:2015-03-22 15:54

公开时间:2015-03-22 15:54

漏洞类型:非授权访问/认证绕过

危害等级:中

自评Rank:5

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-22: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-03-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

麦颂KTV点歌系统存在漏洞,导致配置文件泄露,sqlserver数据库账号密码泄露,全国麦颂连锁KTV会员信息、消费记录、收入情况等信息泄露

详细说明:

麦颂KTV点歌系统存在漏洞,导致配置文件泄露,sqlserver数据库账号密码泄露,全国麦颂连锁KTV会员信息、消费记录、收入情况等信息泄露

漏洞证明:

IMG_1261.JPG


点歌系统存在BUG,导致可以进入XP桌面。

IMG_1273.JPG


通过局域网共享发现收银软件。

QQ截图20141221135652.png


收银系统配置文件中发现远程数据库密码。

QQ截图20141221135825.png


全国麦颂连锁KTV会员信息、消费记录、收入情况等信息均可查询

修复方案:

麦颂的程序员肯定知道怎么修复。

版权声明:转载请注明来源 世纪缘@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2014-12-22 15:58 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    您的好友刚刚点唱了一首《一无所有》

  2. 2014-12-22 19:54 | 草榴社区 ( 普通白帽子 | Rank:109 漏洞数:26 | 未满18周岁,不准进入.)

    屌炸天.好久没去那边了.

  3. 2014-12-22 20:28 | 世纪缘 ( 路人 | Rank:2 漏洞数:3 | 专注无线网络安全!)

    @草榴社区 说出你的会员卡来,我查查你的记录,哈哈

  4. 2015-03-22 16:01 | V-King ( 实习白帽子 | Rank:31 漏洞数:7 | 我是静静)

    怎么跳出来的啊

  5. 2015-07-31 13:42 | 世纪缘 ( 路人 | Rank:2 漏洞数:3 | 专注无线网络安全!)

    @V-King 插上U盘就弹出错误!