当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0110367

漏洞标题:全国工商联执委一处漏洞导致泄露商会数据库+执常委数据库+组织数据库

相关厂商:cncert国家互联网应急中心

漏洞作者: JiuShao

提交时间:2015-05-06 12:55

修复时间:2015-06-25 11:26

公开时间:2015-06-25 11:26

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-06: 细节已通知厂商并且等待厂商处理中
2015-05-11: 厂商已经确认,细节仅向厂商公开
2015-05-21: 细节向核心白帽子及相关领域专家公开
2015-05-31: 细节向普通白帽子公开
2015-06-10: 细节向实习白帽子公开
2015-06-25: 细节向公众公开

简要描述:

全国工商联执委一处漏洞导致泄露商会数据库+执常委数据库+组织数据库的所有数据
国家级数据 叼叼叼 深入深入在深入 望不查表 表在外面
用户数:行业商会会员:1448668 涉及资金:反正能砸死我

详细说明:

全国工商联执委一处漏洞导致泄露商会数据库+执常委数据库+组织数据库的所有数据
站点:http://1.202.249.237:8080/ 弱口令:admin/123456
这里出现了什么呢?请看截图

1.jpg


泄露工商联执委用户220945条
继续深入

2.jpg


泄露企业162513条
继续深入

3.jpg


泄露用户数7820条
获得几个系统管理账户
administrator/123456
MgrOfGlobal/123456
QLHuiyuanbu/123456
(就随便测试了几个 估计还有一大堆弱口,注意排查)
继续深入
地址:http://1.202.249.237/WebOS/Login.aspx
用上面系统管理账户登入
获得1:合 计 行业商会小计:11540 已注册小计:7862 行业商会会员:1448668 省级行业组织现有数:830 省级已注册商会:568 县级行业组织现有数:4470 市级已注册商会:3143 县级行业组织现有数:4470 县级已注册商会:3143 乡镇商会现有数:11985 乡镇已注册商会:3361
获得2:组织列表总数:3605(地址加电话) 成员信息:341(全是各个大公司的董事长;姓名,公司,电话,手机) 以及2013年的财务信息和2014年的财政信息,(上千亿经费)叼
具体请看截图:

4.jpg

5.jpg

6.jpg

7.jpg

8.jpg

9.jpg

10.jpg

11.jpg


漏洞证明:

如上

修复方案:

全部检测一遍,你比我更懂

版权声明:转载请注明来源 JiuShao@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-05-11 11:25

厂商回复:

CNVD确认并复现所述情况,已转由CNCERT按照网站公开联系方式向网站管理单位通报。

最新状态:

暂无


漏洞评价:

评论