漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0110367
漏洞标题:全国工商联执委一处漏洞导致泄露商会数据库+执常委数据库+组织数据库
相关厂商:cncert国家互联网应急中心
漏洞作者: JiuShao
提交时间:2015-05-06 12:55
修复时间:2015-06-25 11:26
公开时间:2015-06-25 11:26
漏洞类型:后台弱口令
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-05-06: 细节已通知厂商并且等待厂商处理中
2015-05-11: 厂商已经确认,细节仅向厂商公开
2015-05-21: 细节向核心白帽子及相关领域专家公开
2015-05-31: 细节向普通白帽子公开
2015-06-10: 细节向实习白帽子公开
2015-06-25: 细节向公众公开
简要描述:
全国工商联执委一处漏洞导致泄露商会数据库+执常委数据库+组织数据库的所有数据
国家级数据 叼叼叼 深入深入在深入 望不查表 表在外面
用户数:行业商会会员:1448668 涉及资金:反正能砸死我
详细说明:
全国工商联执委一处漏洞导致泄露商会数据库+执常委数据库+组织数据库的所有数据
站点:http://1.202.249.237:8080/ 弱口令:admin/123456
这里出现了什么呢?请看截图
泄露工商联执委用户220945条
继续深入
泄露企业162513条
继续深入
泄露用户数7820条
获得几个系统管理账户
administrator/123456
MgrOfGlobal/123456
QLHuiyuanbu/123456
(就随便测试了几个 估计还有一大堆弱口,注意排查)
继续深入
地址:http://1.202.249.237/WebOS/Login.aspx
用上面系统管理账户登入
获得1:合 计 行业商会小计:11540 已注册小计:7862 行业商会会员:1448668 省级行业组织现有数:830 省级已注册商会:568 县级行业组织现有数:4470 市级已注册商会:3143 县级行业组织现有数:4470 县级已注册商会:3143 乡镇商会现有数:11985 乡镇已注册商会:3361
获得2:组织列表总数:3605(地址加电话) 成员信息:341(全是各个大公司的董事长;姓名,公司,电话,手机) 以及2013年的财务信息和2014年的财政信息,(上千亿经费)叼
具体请看截图:
漏洞证明:
如上
修复方案:
全部检测一遍,你比我更懂
版权声明:转载请注明来源 JiuShao@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2015-05-11 11:25
厂商回复:
CNVD确认并复现所述情况,已转由CNCERT按照网站公开联系方式向网站管理单位通报。
最新状态:
暂无