当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0101063

漏洞标题:中粮集团某系统漏洞可导致查看央企领导、职员工资(可在线调薪、奖金)

相关厂商:中粮集团有限公司

漏洞作者: 路人甲

提交时间:2015-03-13 08:27

修复时间:2015-04-27 08:28

公开时间:2015-04-27 08:28

漏洞类型:服务弱口令

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-13: 细节已通知厂商并且等待厂商处理中
2015-03-16: 厂商已经确认,细节仅向厂商公开
2015-03-26: 细节向核心白帽子及相关领域专家公开
2015-04-05: 细节向普通白帽子公开
2015-04-15: 细节向实习白帽子公开
2015-04-27: 细节向公众公开

简要描述:

最近精神比较紧张,压力好大。
每天早上起床或者看微博,到处都是看某央企董事长说月薪基本工资才7000,8000什么的。
想想都觉得醉了…. 虽然工资比我只是多了两三倍,但是心情不美丽呀。
之前看新闻说央企高管光可见的年薪动不动就是上百万,央企职工平均薪资动不动就好几十万,想想自己十年还没人家一个年多呀。
难怪,老提工头说,这就是命,咱的认命啊。
时间不多了,趁着好不容易走了四离地找的网吧,上着5块钱一小时的网,吃着4块钱一桶的泡面,得赶紧把这个漏洞写完了。。我就不墨迹了,踩着大牛们的肩膀,提交个遗漏的……
本次会公布下某央企职员的工资哦,看完你们所谓的月补贴,我哭了… 那可是好…..个月工资呀…..
平均工资都能在我们村里,都可以娶几个媳妇了…………..
央企高管工资不过万 媒体:不妨说全工资单…..
http://v.ifeng.com/news/mainland/201503/01be0c92-0bc1-43cb-8d90-18739ceff946.shtml
尼玛,普通职员都好……万…. 不信吗?不信等公开呀。。有图有真相….. 据说还可以在线调整工资呢…..不信吗? 不信等公开啊..
对了,你们还招人么。。。我会各种打杂……

详细说明:

刚打开看到中粮集团的厂商列表,看到漏洞们都被忽略掉了…
搜索打开一个也没,发现有个漏洞还木有修复,那就是弱口令…
中粮集团人力资源系统
http://ehr.cofco.com/
账号和密码 test 这个漏洞好久好久前都公开了呀,没修复,不知道你们是怎么想的啊。
WooYun: 看我如何拿下中粮集团大部分系统的

1.png


确实打开这个地址,标题写的确实是中粮集团人力资源系统。

2.png


尝试着 用账号test 密码:test 登陆后。
居然成功了。

3.png


发现确实这个系统的功能挺多的。。
日期我就打码了。。
看到有绩效管理,薪酬管理。…

4.png


果断打开。。点击薪酬管理… 看这个系统有在线加薪,调薪的功能。。。
太强大了。。。
还可以调奖金….
看得我都醉了。。

5.png


6.png


相关保险福利都可以管理,更改参数。。。

7.png


打开薪酬管理,我看到了领导们的工资。。
吓死我了,基本工资800000.。。。。
奖金也好几十万。
我数学没算错的话,应该是一百多万。。。。。

8.png


吓死我了。。
都是好几十万一年。
领导都是过百万。

9.png


漏洞证明:

10.png


11.png


12.png


2015年2月份的工资。。。 基本工资….4万多。。。还有各种福利….

13.png


还有各种护照管理等等功能。。。
接下看到了领导的历年来的工资标准。。。。
差距啊。。。

14.png

修复方案:


提高全员安全意识。。。。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-03-16 09:45

厂商回复:

正在整改中,感谢

最新状态:

暂无

漏洞评价:

评论

  1. 2015-03-13 08:32 | 第四维度 ( 实习白帽子 | Rank:58 漏洞数:34 | 谦谦君子,温润如玉)

    前排

  2. 2015-03-13 08:39 | 90Snake ( 普通白帽子 | Rank:109 漏洞数:42 | 最大的漏洞就是人)

    CCTV看这里

  3. 2015-03-13 10:06 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    公务员工资到底多少?

  4. 2015-03-13 10:20 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    @疯狗 月薪至少五位数吧

  5. 2015-03-13 19:41 | sky ( 实习白帽子 | Rank:94 漏洞数:33 | 有一天,我带着儿子@jeary 去@园长 的园长...)

    233333333333 啪啪啪啪啪啪 这世道 给的钱少了 谁和你非情非故的给你干活

  6. 2015-03-14 10:03 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    记者看这里系列

  7. 2015-04-27 09:13 | 黑猫警长 ( 实习白帽子 | Rank:60 漏洞数:22 | 眼睛睁得像铜铃。)

    @疯狗 前天交了一个关于这方面的,明天你审核的时候就看到了

  8. 2015-04-27 09:17 | xiaogui ( 实习白帽子 | Rank:88 漏洞数:24 | 围观大牛来了~~~)

    ccav看这里

  9. 2015-04-27 09:25 | 圣路西法 ( 路人 | Rank:4 漏洞数:3 | 围观大神ส็็็็็็ ̷̸̨̀͒̏̃ͦ...)

    CCTV看这里

  10. 2015-04-27 13:05 | set ( 实习白帽子 | Rank:41 漏洞数:7 | Especially for you)

    记者、网站编辑、微博达人、这里有篇好素材可以写个好文章快来@中纪委:有个地方好好玩的样子 快去那做做客

  11. 2015-05-22 15:50 | 我能拒绝么 ( 路人 | Rank:10 漏洞数:3 | 疯爆志林)

    差距啊 CCAV看这里