当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0133584

漏洞标题:妈妈网大量弱口令导致大量信息泄露(涉及多个后台/工资/支付等)

相关厂商:妈妈网

漏洞作者: ago

提交时间:2015-08-12 14:10

修复时间:2015-09-26 15:20

公开时间:2015-09-26 15:20

漏洞类型:内部绝密信息泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-12: 细节已通知厂商并且等待厂商处理中
2015-08-12: 厂商已经确认,细节仅向厂商公开
2015-08-22: 细节向核心白帽子及相关领域专家公开
2015-09-01: 细节向普通白帽子公开
2015-09-11: 细节向实习白帽子公开
2015-09-26: 细节向公众公开

简要描述:

妈妈网大量弱口令导致大量信息泄露

详细说明:

很多mail,里面涉及了大量密码后台信息

[+] Login successful: yuanya@mama.cn mama1234
[+] Login successful: lida@mama.cn mama1234
[+] Login successful: yangbing@mama.cn mama1234
[+] Login successful: fengchy@mama.cn mama1234
[+] Login successful: huxx@mama.cn mama1234
[+] Login successful: liwh@mama.cn mama1234
[+] Login successful: kanglei@mama.cn mama1234
[+] Login successful: tiantian@mama.cn mama1234
[+] Login successful: zhaoyun@mama.cn mama1234
[+] Login successful: mengqin@mama.cn mama1234
[+] Login successful: xuqin@mama.cn mama1234
[+] Login successful: gaokai@mama.cn mama1234
[+] Login successful: qiuyc@mama.cn mama1234
[+] Login successful: wanghy@mama.cn mama1234
[+] Login successful: jianghm@mama.cn mama1234
[+] Login successful: liyan@mama.cn mama1234
[+] Login successful: shixh@mama.cn mama1234
[+] Login successful: yy@mama.cn mama1234
[+] Login successful: zhangying@mama.cn mama1234
[+] Login successful: tianchun@mama.cn mama1234
[+] Login successful: linxh@mama.cn mama1234
[+] Login successful: wusy@mama.cn mama1234
[+] Login successful: lvzm@mama.cn mama1234
[+] Login successful: xuya@mama.cn mama1234
[+] Login successful: caigoubu@mama.cn mama1234
[+] Login successful: smc@mama.cn mama1234
[+] Login successful: chendp@mama.cn mama123
[+] Login successful: zhaoshuai@mama.cn mama123
[+] Login successful: zhousm@mama.cn mama123
[+] Login successful: wujf@mama.cn mama123
[+] Login successful: gaorf@mama.cn mama123
[+] Login successful: lishan@mama.cn mama123
[+] Login successful: dengxb@mama.cn mama123
[+] Login successful: tangrui@mama.cn mama123
[+] Login successful: tianxy@mama.cn mama123
[+] Login successful: daiy@mama.cn mama123
[+] Login successful: sunyanan@mama.cn mama123
[+] Login successful: jiaoyl@mama.cn mama123
[+] Login successful: zhanghzh@mama.cn mama123
[+] Login successful: wuhn@mama.cn mama123
[+] Login successful: chencw@mama.cn mama123
[+] Login successful: adsy@mama.cn mama123

漏洞证明:

举例说明

555.png


444.png


http://redmine.xamama.com.cn:81/login   redmine后台
http://std.mama.cn/svn/sites/sites/mmq_published/mapi_published svn


考勤系统

55.png


1、国内支付宝:
账号:al****@mama.cn 登陆密码:****105 广州盛成网络科技有限公司 (使用时间:2015-8-4前)
账号:sc****@mama.cn 登陆密码:****014 广州树懒熊电子商务有限公司 (使用时间:2015-8-4后)
2、国际支付宝:
账号:xs***@mama.cn 登录密码:x**** 小树熊有限公司 (公司邮箱密码:GZSC2468)(已停用,可登陆)
账号:tech***@mama.cn 登录密码:te**** 泰舟科技有限公司 (公司邮箱密码:mama246)(使用时间:分账功能上线前)
账号:xsxs***@mama.cn 登录密码: x**** 泰舟科技有限公司分账专用账号 (公司邮箱密码:ma***)(使用时间:分账功能上线后)

3、微信支付(财付通)
妈妈圈(使用时间:2015-8-4前)(证书暂缺)
微信支付商户号:1219808101
财付通登录账号:1219808101
财付通登录密码:ma***

怀孕管家(使用时间:2015-8-4前)
微信支付商户号:1220211801
财付通登录账号:1220211801
财付通登录密码:1****
小树熊母婴精选公众号(使用时间:2015-8-4前)
公众号账号:2970904177@qq.com 密码:****2014
微信支付商户号:10065192
商户平台登录账号:10065192@10065192
商户平台登录密码:****
财付通登录账号:1225903701
财付通登录密码:****
小树熊供应商平台 (微信收款账号,广州树懒熊电子商务有限公司)(使用时间:2015-8-4后)
登录地址:https://pay.weixin.qq.com/index.php/home/login?return_url=%2F
公众号账号:xsxhk@mama.cn 密码:GZ***
公众号的邮箱:xsxhk@mama.cn 密码:GZ***
微信支付商户号 1238041402
商户平台登录账号:1238041402@1238041402
商户平台登录密码:25***
财付通登录账号:12380***
财付通登录密码:****
密钥:xiaoshuxiong***********2015


试客圈

4444.png


你们的合同系统账号已开通,合同系统连接:http://contract.mama.cn:9098/admin.php
账号名:姓名
初始密码:123456
社区发帖统一账号:妈圈调查局
密码:mama*****


妈妈圈管理后台之一

444.png


各种推广之一

333.png


还有很多。。等等,希望能给你们敲响警钟

修复方案:

加强员工安全意识

版权声明:转载请注明来源 ago@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-08-12 15:18

厂商回复:

非常感谢,由于弱口令所引发的问题,我们要牢记

最新状态:

暂无


漏洞评价:

评论

  1. 2015-08-12 14:37 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    牛B你还给5 @妈妈网

  2. 2015-08-22 15:58 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    R啊 号登错了...