天天果园某服务弱口令打包 | wooyun-2015-0112070| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0112070

漏洞标题：天天果园某服务弱口令打包

漏洞作者：爱上平顶山

提交时间：2015-05-05 10:31

修复时间：2015-06-19 10:42

公开时间：2015-06-19 10:42

漏洞类型：服务弱口令

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-05-05：细节已通知厂商并且等待厂商处理中
2015-05-05：厂商已经确认，细节仅向厂商公开
2015-05-15：细节向核心白帽子及相关领域专家公开
2015-05-25：细节向普通白帽子公开
2015-06-04：细节向实习白帽子公开
2015-06-19：细节向公众公开

简要描述：

...我是蜜蜂侠

详细说明：

天天果园
先看段文字运维兄弟真辛苦哎

Hi 各位同事，
上周发生了黑客登录我们公司系统并下载数据的严重事件。使用的方法就是不断的尝试我们各位同事的用户名和密码。
但凡被攻破的账号，全都使用了弱密码。
 
在此恳请各位同事将您以下系统的密码更改为强密码。
强密码需要包括：大写字母，小写字母，数字及符号。长度大于8位。 不要使用年分，生日，常用英语单词。尽量加入!@#$%^&等。
 
邮箱：今天深夜，邮箱将被设置成强密码保护，如果你不是强密码，你将在下次登录时要求修改成强密码。
SAP： 潘达已经发信给拥有SAP账号的同事，请按要求修改密码。
OMS：黎春飞已经通知过各位使用者修改成强密码。鉴于OMS的重要性，今后每3个月会强制要求修改一次密码。
财付通等第三方系统：这写系统虽然是第三方系统，但是弱密码同样会被轻而易举地攻破，请账号使用者养成好习惯，设置强密码，定期修改。
HOME和WMS：请大家于今天修改成强密码。
Cang.****和dingdan.****： 这两个系统的使用者也请与今天修改成强密码。
OA：也请改成强密码。
红色标出的三个系统我们无法强制要求你使用强密码，但是下次再有弱密码被攻破事情发生，我会约谈该账号的使用者和他分管主管。
 
请各位理解，再高级的防火墙也挡不住黑客猜出你的密码。
 
之前缺乏对大家讲述这方面的重要性，是技术部工作上的失误。
有劳大家一起行动起来，构筑起天天果园的防火长城。
 
 
叶宁 | 技术部 IT |

都恳请了结果如何呢？我们验证下.
打包简单弱口令：

liuyl@fruitday.com	123456	302
wuying@fruitday.com	123456	302
zhoujh@fruitday.com	123456	302
tanghao@fruitday.com	123456	302
yaoxue@fruitday.com	123456	302
songyy@fruitday.com	123456	302
shangrui@fruitday.com	123456	302
zhangna@fruitday.com	123456	302
lixiao@fruitday.com	123456	302
liyang@fruitday.com	123456	302
liyan@fruitday.com	123456	302
yangmeng@fruitday.com	123456	302
tangqi@fruitday.com	123456	302
shenhj@fruitday.com	123456	302
ceshi@fruitday.com	123456	302
jiaoyh@fruitday.com	123456	302
wanghb@fruitday.com	123456	302
wangchen@fruitday.com	123456	302
wangling@fruitday.com	123456	302
wangyf@fruitday.com	123456	302
tianyuan@fruitday.com	123456	302
tianxp@fruitday.com	123456	302
shifeng@fruitday.com	123456	302
jiangyy@fruitday.com	123456	302
cwintern2@fruitday.com	123456	302
jiaxy@fruitday.com	123456	302
dengbin@fruitday.com	123456	302
chendf@fruitday.com	123456	302
chenying@fruitday.com	123456	302
chenxz@fruitday.com	123456	302
yinjun@fruitday.com	111111	302
xiongpy@fruitday.com	111111	302
liuyl@fruitday.com	123456	302
wuying@fruitday.com	123456	302
zhoujh@fruitday.com	123456	302
tanghao@fruitday.com	123456	302
yaoxue@fruitday.com	123456	302
songyy@fruitday.com	123456	302
shangrui@fruitday.com	123456	302
zhangna@fruitday.com	123456	302
liyan@fruitday.com	123456	302
lixiao@fruitday.com	123456	302
liyang@fruitday.com	123456	302
yangmeng@fruitday.com	123456	302
tangqi@fruitday.com	123456	302
shenhj@fruitday.com	123456	302
ceshi@fruitday.com	123456	302
jiaoyh@fruitday.com	123456	302
wanghb@fruitday.com	123456	302
wangchen@fruitday.com	123456	302
wangling@fruitday.com	123456	302
wangyf@fruitday.com	123456	302
tianyuan@fruitday.com	123456	302
tianxp@fruitday.com	123456	302
shifeng@fruitday.com	123456	302
jiangyy@fruitday.com	123456	302
cwintern2@fruitday.com	123456	302
jiaxy@fruitday.com	123456	302
dengbin@fruitday.com	123456	302
chendf@fruitday.com	123456	302
chenying@fruitday.com	123456	302
chenxz@fruitday.com	123456	302
yinjun@fruitday.com	111111	302
xiongpy@fruitday.com	111111	302
yulm@fruitday.com	123456	302
fumx@fruitday.com	123456	302
anyt@fruitday.com	123456	302
xuhl@fruitday.com	123456	302
xudq@fruitday.com	123456	302
lulq@fruitday.com	111111	302
yulm@fruitday.com	123456	302
fumx@fruitday.com	123456	302
anyt@fruitday.com	123456	302
xuhl@fruitday.com	123456	302
xudq@fruitday.com	123456	302
lulq@fruitday.com	111111	302
zhoufeng@fruitday.com	Fday_2015	302
lihl@fruitday.com	fruitday@2014	302
lvqin@fruitday.com	Fday_2015	302
xiawt@fruitday.com	Fday_2015	302
songzy@fruitday.com	Fday_2015	302
yangxx@fruitday.com	Fday_2015	302
wangyj@fruitday.com	Fday_2015	302
fantt@fruitday.com	Fday_2015	302
zhaoxx@fruitday.com	Fday_2015	302
ewt@fruitday.com	Fday_2015	302
chenxm@fruitday.com	Fday_2015	302
guyw@fruitday.com	Fday_2015	302
zhulm@fruitday.com	fday2015	302
liyl@fruitday.com	@fday2015	302
zhaocy@fruitday.com	@fday2015	302
gaoyuan@fruitday.com	@fday2015	302
fengxia@fruitday.com	@fday2014	302
noreply@fruitday.com	fday2012	30
fruitday_sys_messager@fruitday.com	Fday_2015	302	544
sandcard@fruitday.com	Fday_2015	302	544
timeconcord@fruitday.com	Fday_2015	302	544
yudan@fruitday.com	Fday_2015	302	544
yutt@fruitday.com	Fday_2015	302	544
hehl@fruitday.com	Fday_2015	302	544
heyl@fruitday.com	Fday_2015	302	544
heyw@fruitday.com	Fday_2015	302	544
zespri@fruitday.com	Fday_2015	302	544
yucy@fruitday.com	Fday_2015	302	544
health@fruitday.com	Fday_2015	302	544
liujq@fruitday.com	Fday_2015	302	544
liuwd@fruitday.com	Fday_2015	302	544
liuxiaoli@fruitday.com	Fday_2015	302	544
liuxy@fruitday.com	Fday_2015	302	544
liuyun@fruitday.com	Fday_2015	302	544
lurg@fruitday.com	Fday_2015	302	544
wujf@fruitday.com	Fday_2015	302	544
wugx@fruitday.com	Fday_2015	302	544
zhouhui@fruitday.com	Fday_2015	302	544
tangzh@fruitday.com	Fday_2015	302	544
sunhm@fruitday.com	Fday_2015	302	544
sunhao@fruitday.com	Fday_2015	302	544
sunpeng@fruitday.com	Fday_2015	302	544
xiaomi@fruitday.com	Fday_2015	302	544
ticket@fruitday.com	Fday_2015	302	544
changjing@fruitday.com	Fday_2015	302	544
zhangzx@fruitday.com	Fday_2015	302	544
zhangcj@fruitday.com	Fday_2015	302	544
zhangzm@fruitday.com	Fday_2015	302	544
zhangxy@fruitday.com	Fday_2015	302	544
xulei@fruitday.com	Fday_2015	302	544
xujin@fruitday.com	Fday_2015	302	544
sunkist@fruitday.com	Fday_2015	302	544
fangcc@fruitday.com	Fday_2015	302	544
fangxuan@fruitday.com	Fday_2015	302	544
lihq@fruitday.com	Fday_2015	302	544
liww@fruitday.com	Fday_2015	302	544
lihf@fruitday.com	Fday_2015	302	544
liqq@fruitday.com	Fday_2015	302	544
yangpeip@fruitday.com	Fday_2015	302	544
yangpp@fruitday.com	Fday_2015	302	544
yangsong@fruitday.com	Fday_2015	302	544
yangsl@fruitday.com	Fday_2015	302	544
yangxw@fruitday.com	Fday_2015	302	544
linying@fruitday.com	Fday_2015	302	544
guoran@fruitday.com	Fday_2015	302	544
shencl@fruitday.com	Fday_2015	302	544
panying@fruitday.com	Fday_2015	302	544
wangxd@fruitday.com	Fday_2015	302	544
wanghong@fruitday.com	Fday_2015	302	544
bbs@fruitday.com	Fday_2015	302	544
jiangwy@fruitday.com	Fday_2015	302	544
gelan@fruitday.com	Fday_2015	302	544
zhaoqi@fruitday.com	Fday_2015	302	544
dengcm@fruitday.com	Fday_2015	302	544
guowk@fruitday.com	Fday_2015	302	544
order@fruitday.com	Fday_2015	302	544
luyq@fruitday.com	Fday_2015	302	544
chenyao@fruitday.com	Fday_2015	302	544
chenyh@fruitday.com	Fday_2015	302	544
weism@fruitday.com	Fday_2015	302	544
madm@fruitday.com	Fday_2015	302	544
huangwy@fruitday.com	Fday_2015	302	544
huangcl@fruitday.com	Fday_2015	302	544
huangqw@fruitday.com	Fday_2015	302	544

如上问话去吧哎.

漏洞证明：

...

修复方案：

...

版权声明：转载请注明来源爱上平顶山@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2015-05-05 10:42

厂商回复：

非常感谢！我们一定会严肃处理，再次感谢！

漏洞评价：

2015-05-05 10:35 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

哥，你这么玩他 =。= 不会走小厂吧。。。。
2015-08-05 08:19 | ckaexn ( 路人 | Rank:17 漏洞数:2 | ~)

内部为啥不fuzz一下呢
2015-09-10 10:47 | BeenQuiver ( 普通白帽子 | Rank:101 漏洞数:26 | 专注而高效，坚持好的习惯千万不要放弃)

哈哈,it部门的恳求没用

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0112070

漏洞标题：天天果园某服务弱口令打包

相关厂商：fruitday.com

漏洞作者：爱上平顶山

提交时间：2015-05-05 10:31

修复时间：2015-06-19 10:42

公开时间：2015-06-19 10:42

漏洞类型：服务弱口令

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源爱上平顶山@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0112070

漏洞标题：天天果园某服务弱口令打包

相关厂商：fruitday.com

漏洞作者： 爱上平顶山

提交时间：2015-05-05 10:31

修复时间：2015-06-19 10:42

公开时间：2015-06-19 10:42

漏洞类型：服务弱口令

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0112070"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 爱上平顶山@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：爱上平顶山

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源爱上平顶山@乌云