漏洞概要
关注数(24)
关注此漏洞
漏洞标题:对唱吧的渗透测试(进入若干后台和运维系统,拨入VPN)
提交时间:2015-04-08 15:28
修复时间:2015-05-23 18:26
公开时间:2015-05-23 18:26
漏洞类型:成功的入侵事件
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-04-08: 细节已通知厂商并且等待厂商处理中
2015-04-08: 厂商已经确认,细节仅向厂商公开
2015-04-18: 细节向核心白帽子及相关领域专家公开
2015-04-28: 细节向普通白帽子公开
2015-05-08: 细节向实习白帽子公开
2015-05-23: 细节向公众公开
简要描述:
对唱吧的一次渗透测试。获取大量敏感信息,进入若干后台、运维系统(wiki,cacti,erp等),拨入某VPN服务器。
详细说明:
入口点:
存在OpenSSL heart bleeding。通过脚本监控,抓取账号密码。
抓到了basic认证的账号密码,抓到了3个员工的账号密码。
进入wiki(wiki中泄露大量敏感信息,有心的攻击者可以一直潜伏在唱吧网络中,我是无心的..):
进入唱吧的后台系统:
进入邮箱系统:
漏洞证明:
根据wiki上的说明,拨入了VPN:
唱吧无国界:
唱吧erp:
cacti什么的就不说了:
暂到这里,没时间继续深入了。 以后可以再回访。 :)
修复方案:
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2015-04-08 18:24
厂商回复:
谢谢lijiejie的报告,我们会尽快修复
最新状态:
暂无
漏洞评价:
评论
-
2015-04-08 15:39 |
f4ck ( 实习白帽子 | Rank:42 漏洞数:7 | 有些人很牛B,一个漏洞能刷成N个。)
-
2015-04-08 15:48 |
姗姗来迟 ( 普通白帽子 | Rank:297 漏洞数:72 | coffeesafe的小号)
-
2015-04-08 16:02 |
scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)
-
2015-04-08 16:08 |
杀器王子 
( 普通白帽子 | Rank:1532 漏洞数:121 | 磨刀霍霍向猪羊)
-
2015-04-08 16:11 |
浩天 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)
-
2015-04-08 16:11 |
’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)
-
2015-04-08 16:15 |
Mr.leo ( 普通白帽子 | Rank:1314 漏洞数:176 | 说点神马呢!!)
-
2015-04-08 16:17 |
李旭敏 ( 普通白帽子 | Rank:469 漏洞数:71 | ฏ๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎...)
-
2015-04-08 16:28 |
毕月乌 ( 普通白帽子 | Rank:120 漏洞数:16 | 猜猜我是谁?)
-
2015-04-08 16:34 |
scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)
-
2015-04-08 16:35 |
岩少 ( 普通白帽子 | Rank:586 漏洞数:171 | 破晓团队)
-
2015-04-08 16:36 |
prolog ( 普通白帽子 | Rank:544 漏洞数:107 | 低调求发展)
http://nwpuepaper.cuepa.cn/newspic/307698/s_8ae6b86677fc7fdbe8ff9979b200a1ec174958.jpg原来楼主这么帅
-
2015-04-08 16:37 |
’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)
-
2015-04-08 16:40 |
大漠長河 ( 实习白帽子 | Rank:43 漏洞数:7 | ̷̸̨̀͒̏̃ͦ̈́̾( 天龙源景区欢迎您...)
-
2015-04-08 16:53 |
Azox佐熙 ( 路人 | Rank:1 漏洞数:1 | 我就混个脸熟)
-
2015-04-08 16:59 |
Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)
http://nwpuepaper.cuepa.cn/show_more.php?doc_id=307698原来楼主这么帅
-
2015-04-08 17:02 |
姗姗来迟 ( 普通白帽子 | Rank:297 漏洞数:72 | coffeesafe的小号)
-
2015-04-08 17:04 |
大亮 ( 普通白帽子 | Rank:306 漏洞数:65 | 慢慢挖洞)
-
2015-04-08 17:07 |
f4ckbaidu ( 普通白帽子 | Rank:182 漏洞数:23 | 开发真是日了狗了)
-
2015-04-08 17:17 |
Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)
干净的衬衫 ,修长的手指,也许人们会被这个男孩的外表吸引 ,但 恐怕很难知道 他的修长手指放在键盘上方时的绝 美姿态 。这是个传奇式的大男孩,怀着纯美的信念向着阳光 一步步成长。他曾在刚进校不久就致使学校主页出错,小小的改动给学校日常工作带来了很多麻烦;他曾是父母和老师眼中的叛逆少年,上课捧着自己的课外书陶醉其中。他就是以优异 的成绩考入西工大的优秀学子,有着自己的职业标准的美国Pho to&Ink.LLC 公司程序员 ——软件与微电子学院大二学生李劼杰。 兴趣让人疯狂尚在大 二年级,李 劼杰就已经 单独从事 项目开发并成 功通过美国公司的选拔 成为 美国Photo&Ink.LLC 公司在该选拔 中招收 的唯一一 名程序 员。拿着自己的 劳动报 酬,他在程序 设计 、网络安全领域 辟出了自己的一 番天地。在 青春驿站 举办的第二届 “校园 十大青春人物评选”活动中, 他凭借其 傲人的成 绩晋级十强 。这个著名的“ 小黑 客”开始进入学生们的 视线,成为很 多在校生 追捧的对 象———从喜爱运 用自己的 电脑技术进 行恶作剧的黑客蜕变到行为有自己的 规范的程序 员,这个男 孩用自己的方式在 电脑的键盘上舞出了属于自己的青春舞姿。
-
2015-04-08 17:20 |
prolog ( 普通白帽子 | Rank:544 漏洞数:107 | 低调求发展)
-
2015-04-08 17:58 |
小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)
-
2015-04-08 18:02 |
姗姗来迟 ( 普通白帽子 | Rank:297 漏洞数:72 | coffeesafe的小号)
-
2015-04-08 18:15 |
’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)
-
2015-04-08 18:18 |
無名老人 ( 路人 | Rank:15 漏洞数:3 | 干过开发,日过渗透,江湖人称: 少女杀手)
-
2015-04-08 18:36 |
’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)
-
2015-04-08 19:07 |
刺蝴蝶De箫启灵 ( 路人 | Rank:6 漏洞数:3 | 我有一只小毛驴,我从来都不骑)
-
2015-04-08 19:28 |
狗狗侠 ( 普通白帽子 | Rank:497 漏洞数:55 | 我是狗狗侠)
-
2015-04-08 20:00 |
Go7hic ( 路人 | Rank:4 漏洞数:4 )
干净的衬衫 ,修长的手指,也许人们会被这个男孩的外表吸引 ,但 恐怕很难知道 他的修长手指放在键盘上方时的绝 美姿态 。这是个传奇式的大男孩,怀着纯美的信念向着阳光 一步步成长。他曾在刚进校不久就致使学校主页出错,小小的改动给学校日常工作带来了很多麻烦;他曾是父母和老师眼中的叛逆少年,上课捧着自己的课外书陶醉其中。他就是以优异 的成绩考入西工大的优秀学子,有着自己的职业标准的美国Pho to&Ink.LLC 公司程序员 ——软件与微电子学院大二学生李劼杰。 兴趣让人疯狂尚在大 二年级,李 劼杰就已经 单独从事 项目开发并成 功通过美国公司的选拔 成为 美国Photo&Ink.LLC 公司在该选拔 中招收 的唯一一 名程序 员。拿着自己的 劳动报 酬,他在程序 设计 、网络安全领域 辟出了自己的一 番天地。在 青春驿站 举办的第二届 “校园 十大青春人物评选”活动中, 他凭借其 傲人的成 绩晋级十强 。这个著名的“ 小黑 客”开始进入学生们的 视线,成为很 多在校生 追捧的对 象———从喜爱运 用自己的 电脑技术进 行恶作剧的黑客蜕变到行为有自己的 规范的程序 员,这个男 孩用自己的方式在 电脑的键盘上舞出了属于自己的青春舞姿。
-
2015-04-08 20:00 |
大物期末不能挂 ( 普通白帽子 | Rank:132 漏洞数:23 | 1.一个学渣,只求每门都不挂2.想把漏洞提...)
他曾在刚进校不久就致使学校主页出错,小小的改动给学校日常工作带来了很多麻烦;
-
2015-04-08 20:29 |
子非海绵宝宝 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)
-
2015-04-08 20:42 |
’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)
-
2015-04-08 22:57 |
scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)
-
2015-04-09 00:08 |
明月影 ( 路人 | Rank:12 漏洞数:8 | 学姿势,学思路。)
-
2015-04-09 09:52 |
盛大网络(乌云厂商)
-
2015-04-09 11:05 |
子非海绵宝宝 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)
-
2015-04-09 11:13 |
BMa ( 普通白帽子 | Rank:1776 漏洞数:200 )
-
2015-04-09 14:54 |
Master ( 路人 | Rank:29 漏洞数:10 )
-
2015-04-09 15:34 |
0c0c0f ( 实习白帽子 | Rank:48 漏洞数:15 | My H34rt c4n 3xploit 4ny h0les!)
-
2015-04-25 09:55 |
黑名单 ( 实习白帽子 | Rank:60 漏洞数:13 | 像个傻瓜似的,为什么。)
干净的衬衫 ,修长的手指,也许人们会被这个男孩的外表吸引 ,但 恐怕很难知道 他的修长手指放在键盘上方时的绝 美姿态 。这是个传奇式的大男孩,怀着纯美的信念向着阳光 一步步成长。他曾在刚进校不久就致使学校主页出错,小小的改动给学校日常工作带来了很多麻烦;他曾是父母和老师眼中的叛逆少年,上课捧着自己的课外书陶醉其中。他就是以优异 的成绩考入西工大的优秀学子,有着自己的职业标准的美国Pho to&Ink.LLC 公司程序员 ——软件与微电子学院大二学生李劼杰。 兴趣让人疯狂尚在大 二年级,李 劼杰就已经 单独从事 项目开发并成 功通过美国公司的选拔 成为 美国Photo&Ink.LLC 公司在该选拔 中招收 的唯一一 名程序 员。拿着自己的 劳动报 酬,他在程序 设计 、网络安全领域 辟出了自己的一 番天地。在 青春驿站 举办的第二届 “校园 十大青春人物评选”活动中, 他凭借其 傲人的成 绩晋级十强 。这个著名的“ 小黑 客”开始进入学生们的 视线,成为很 多在校生 追捧的对 象———从喜爱运 用自己的 电脑技术进 行恶作剧的黑客蜕变到行为有自己的 规范的程序 员,这个男 孩用自己的方式在 电脑的键盘上舞出了属于自己的青春舞姿。
-
2015-05-12 10:56 |
小胖子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)
-
2015-05-12 11:43 |
糖剩七颗 ( 普通白帽子 | Rank:430 漏洞数:61 | 天涯何处无屌丝)
-
2015-05-17 14:29 |
小豹 ( 实习白帽子 | Rank:33 漏洞数:8 | 一个人的寂寞,整个群的错234236)
-
2015-05-23 18:31 |
Adra1n ( 普通白帽子 | Rank:437 漏洞数:68 )
-
2015-05-23 22:26 |
Mr.R ( 实习白帽子 | Rank:52 漏洞数:14 | 求大神带我飞 qq2584110147)
-
2015-05-23 23:24 |
大亮 ( 普通白帽子 | Rank:306 漏洞数:65 | 慢慢挖洞)
-
2015-05-24 11:44 |
qhwlpg ( 普通白帽子 | Rank:226 漏洞数:54 | 潜心代码审计。)
-
2015-05-24 16:01 |
scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)
-
2015-07-01 15:20 |
_Thorns ( 普通白帽子 | Rank:882 漏洞数:157 | 收wb 1:5 无限量收 [平台担保]))
-
2015-07-10 11:14 |
木马游民 ( 路人 | Rank:17 漏洞数:8 | I love LSD!)
