当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0105747

漏洞标题:某省煤矿安全监察局行政许可系统沦陷(妈妈再也不用担心挖煤办不了证书了)

相关厂商:某省挖煤办

漏洞作者: 辛巴

提交时间:2015-04-04 07:59

修复时间:2015-05-23 09:38

公开时间:2015-05-23 09:38

漏洞类型:应用配置错误

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-04: 细节已通知厂商并且等待厂商处理中
2015-04-08: 厂商已经确认,细节仅向厂商公开
2015-04-18: 细节向核心白帽子及相关领域专家公开
2015-04-28: 细节向普通白帽子公开
2015-05-08: 细节向实习白帽子公开
2015-05-23: 细节向公众公开

简要描述:

.。。要去山东挖煤的,拿钱找我办许可

详细说明:

首先进入一个登陆页面
地址:https://218.57.138.157/portal_default/index1.html

WXNFZS4RZ1P%EPO$FAVGM@B.png


账号test 密码:123456

BL67A$M1](N{P51_$%@{SR8.png


然后看到两个系统登陆地址 如图2
第一个测试不了,第二个弱口令,也就是煤矿许可系统
账号admin 密码;123456

}1%83`A5~YADR29DI0T8Z1G.png


抱歉,各位领导的大名我看见了。。。应该不会查我水表吧。。。

漏洞证明:

首先进入一个登陆页面
地址:https://218.57.138.157/portal_default/index1.html

WXNFZS4RZ1P%EPO$FAVGM@B.png


账号test 密码:123456

BL67A$M1](N{P51_$%@{SR8.png


然后看到两个系统登陆地址 如图2
第一个测试不了,第二个弱口令,也就是煤矿许可系统
账号admin 密码;123456

}1%83`A5~YADR29DI0T8Z1G.png


抱歉,各位领导的大名我看见了。。。应该不会查我水表吧。。。

修复方案:

一。修改密码,不用采用123456等弱口令作为密码。
二。最后图片中出现的所有用户做传导,禁止弱口令,以防被人二次利用。

版权声明:转载请注明来源 辛巴@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-04-08 09:37

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给相应分中心,由其后续协调网站管理单位处置

最新状态:

暂无

漏洞评价:

评论

  1. 2015-04-04 08:24 | My.Dream ( 普通白帽子 | Rank:111 漏洞数:24 | 大神别打我)

    你好,我是非法煤矿主,我想请你吃顿饭

  2. 2015-04-04 10:02 | 七寸往事 ( 实习白帽子 | Rank:60 漏洞数:17 | <script>alert(document.cookie)</script>)

    你好,我是非法煤矿主,我想请你吃顿饭

  3. 2015-04-04 10:47 | 雨言过、寻翼 ( 路人 | Rank:10 漏洞数:4 | 天羽team安全团队QQ:1150059519)

    你好,我是非法煤矿主,我想请你吃顿饭

  4. 2015-04-04 11:35 | llkoio ( 路人 | Rank:20 漏洞数:3 | 热爱网络安全!)

    你好,我是非法煤矿主,我想请你吃顿饭

  5. 2015-04-04 14:19 | 天地不仁 以万物为刍狗 ( 普通白帽子 | Rank:977 漏洞数:264 | 天地本不仁 万物为刍狗)

    你好,我是派出所的,请楼上的都跟我走一趟

  6. 2015-04-04 14:26 | diguoji ( 普通白帽子 | Rank:323 漏洞数:79 | 中国吉林长春)

    你好,我是派出所的,我想腐败一下 开个矿请你吃饭

  7. 2015-04-04 18:11 | 孤独行者 ( 普通白帽子 | Rank:110 漏洞数:44 | 时光如水,总是无言。你若安好,便是晴天)

    @My.Dream @七寸往事 @雨言过、寻翼 @llkoio @天地不仁 以万物为刍狗 @diguoji 你好我是纪委的,楼上的各位跟我走一趟。不然查水表了。

  8. 2015-04-04 19:38 | 蓝哆 ( 实习白帽子 | Rank:84 漏洞数:12 | 尽我所能,改变互联网的明天~ 我是作死哆)

    你好,我是非法煤矿主,我想请你吃顿饭

  9. 2015-04-06 15:00 | kydhzy ( 普通白帽子 | Rank:362 漏洞数:62 | 软件测试)

    楼主的远控老是自动退出,然后win7抓不到屏幕。。。

  10. 2015-04-08 10:35 | Azox佐熙 ( 路人 | Rank:1 漏洞数:1 | 我就混个脸熟)

    你好,我是非法煤矿主,我想请你吃顿饭

  11. 2015-04-08 11:02 | prolog ( 普通白帽子 | Rank:544 漏洞数:107 | 低调求发展)

    你好,我是非法煤矿主,我想请你吃顿饭

  12. 2015-04-08 12:00 | 辛巴 ( 普通白帽子 | Rank:231 漏洞数:83 | 现实中的无能为力,不代表网络中也要低声下...)

    @kydhzy 13年的。。。没办法。。

  13. 2015-04-28 09:46 | kydhzy ( 普通白帽子 | Rank:362 漏洞数:62 | 软件测试)

    @辛巴 大牛,能否送个最新免杀远控玩玩啊