妈妈网大量弱口令导致大量信息泄露（涉及多个后台/工资/支付等）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0133584

漏洞标题：妈妈网大量弱口令导致大量信息泄露（涉及多个后台/工资/支付等）

漏洞作者： ago

提交时间：2015-08-12 14:10

修复时间：2015-09-26 15:20

公开时间：2015-09-26 15:20

漏洞类型：内部绝密信息泄漏

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-08-12：细节已通知厂商并且等待厂商处理中
2015-08-12：厂商已经确认，细节仅向厂商公开
2015-08-22：细节向核心白帽子及相关领域专家公开
2015-09-01：细节向普通白帽子公开
2015-09-11：细节向实习白帽子公开
2015-09-26：细节向公众公开

简要描述：

妈妈网大量弱口令导致大量信息泄露

详细说明：

很多mail，里面涉及了大量密码后台信息

[+] Login successful: yuanya@mama.cn mama1234
[+] Login successful: lida@mama.cn mama1234
[+] Login successful: yangbing@mama.cn mama1234
[+] Login successful: fengchy@mama.cn mama1234
[+] Login successful: huxx@mama.cn mama1234
[+] Login successful: liwh@mama.cn mama1234
[+] Login successful: kanglei@mama.cn mama1234
[+] Login successful: tiantian@mama.cn mama1234
[+] Login successful: zhaoyun@mama.cn mama1234
[+] Login successful: mengqin@mama.cn mama1234
[+] Login successful: xuqin@mama.cn mama1234
[+] Login successful: gaokai@mama.cn mama1234
[+] Login successful: qiuyc@mama.cn mama1234
[+] Login successful: wanghy@mama.cn mama1234
[+] Login successful: jianghm@mama.cn mama1234
[+] Login successful: liyan@mama.cn mama1234
[+] Login successful: shixh@mama.cn mama1234
[+] Login successful: yy@mama.cn mama1234
[+] Login successful: zhangying@mama.cn mama1234
[+] Login successful: tianchun@mama.cn mama1234
[+] Login successful: linxh@mama.cn mama1234
[+] Login successful: wusy@mama.cn mama1234
[+] Login successful: lvzm@mama.cn mama1234
[+] Login successful: xuya@mama.cn mama1234
[+] Login successful: caigoubu@mama.cn mama1234
[+] Login successful: smc@mama.cn mama1234
[+] Login successful: chendp@mama.cn mama123
[+] Login successful: zhaoshuai@mama.cn mama123
[+] Login successful: zhousm@mama.cn mama123
[+] Login successful: wujf@mama.cn mama123
[+] Login successful: gaorf@mama.cn mama123
[+] Login successful: lishan@mama.cn mama123
[+] Login successful: dengxb@mama.cn mama123
[+] Login successful: tangrui@mama.cn mama123
[+] Login successful: tianxy@mama.cn mama123
[+] Login successful: daiy@mama.cn mama123
[+] Login successful: sunyanan@mama.cn mama123
[+] Login successful: jiaoyl@mama.cn mama123
[+] Login successful: zhanghzh@mama.cn mama123
[+] Login successful: wuhn@mama.cn mama123
[+] Login successful: chencw@mama.cn mama123
[+] Login successful: adsy@mama.cn mama123

漏洞证明：

举例说明

http://redmine.xamama.com.cn:81/login   redmine后台
http://std.mama.cn/svn/sites/sites/mmq_published/mapi_published   svn

考勤系统

1、国内支付宝：
     账号：al****@mama.cn    登陆密码：****105       广州盛成网络科技有限公司        （使用时间：2015-8-4前）
     账号：sc****@mama.cn  登陆密码：****014             广州树懒熊电子商务有限公司      （使用时间：2015-8-4后）
2、国际支付宝：
     账号：xs***@mama.cn   登录密码：x****    小树熊有限公司            （公司邮箱密码：GZSC2468）（已停用，可登陆）
     账号：tech***@mama.cn     登录密码：te****  泰舟科技有限公司          （公司邮箱密码：mama246）（使用时间：分账功能上线前）
     账号：xsxs***@mama.cn      登录密码： x****       泰舟科技有限公司分账专用账号     （公司邮箱密码：ma***）（使用时间：分账功能上线后）
   
3、微信支付（财付通）
妈妈圈（使用时间：2015-8-4前）（证书暂缺）
     微信支付商户号：1219808101
     财付通登录账号：1219808101
     财付通登录密码：ma***
     
怀孕管家（使用时间：2015-8-4前）
    微信支付商户号：1220211801
    财付通登录账号：1220211801
    财付通登录密码：1****
小树熊母婴精选公众号（使用时间：2015-8-4前）
   公众号账号：2970904177@qq.com  密码：****2014
   微信支付商户号：10065192
   商户平台登录账号：10065192@10065192
   商户平台登录密码：****
   财付通登录账号：1225903701
   财付通登录密码：****
小树熊供应商平台   （微信收款账号，广州树懒熊电子商务有限公司）（使用时间：2015-8-4后）
  登录地址：https://pay.weixin.qq.com/index.php/home/login?return_url=%2F
  公众号账号：xsxhk@mama.cn     密码：GZ***
  公众号的邮箱：xsxhk@mama.cn  密码：GZ***
  微信支付商户号 1238041402
  商户平台登录账号：1238041402@1238041402
  商户平台登录密码：25***
  财付通登录账号：12380***
  财付通登录密码：****
  密钥：xiaoshuxiong***********2015

试客圈

你们的合同系统账号已开通，合同系统连接：http://contract.mama.cn:9098/admin.php
        账号名：姓名
        初始密码：123456
社区发帖统一账号：妈圈调查局
密码：mama*****

妈妈圈管理后台之一

各种推广之一

还有很多。。等等，希望能给你们敲响警钟

修复方案：

加强员工安全意识

版权声明：转载请注明来源 ago@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2015-08-12 15:18

厂商回复：

非常感谢，由于弱口令所引发的问题，我们要牢记

漏洞评价：

2015-08-12 14:37 | 爱上平顶山 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

牛B你还给5 @妈妈网
2015-08-22 15:58 | 爱上平顶山 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

R啊号登错了...

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0133584

漏洞标题：妈妈网大量弱口令导致大量信息泄露（涉及多个后台/工资/支付等）

相关厂商：妈妈网

漏洞作者： ago

提交时间：2015-08-12 14:10

修复时间：2015-09-26 15:20

公开时间：2015-09-26 15:20

漏洞类型：内部绝密信息泄漏

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 ago@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0133584

漏洞标题：妈妈网大量弱口令导致大量信息泄露（涉及多个后台/工资/支付等）

相关厂商：妈妈网

漏洞作者： ago

提交时间：2015-08-12 14:10

修复时间：2015-09-26 15:20

公开时间：2015-09-26 15:20

漏洞类型：内部绝密信息泄漏

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0133584"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 ago@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：