当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0136994

漏洞标题:大麦票务网站疑似会员数据泄露总量达到上百万

相关厂商:大麦网

漏洞作者: Alsn

提交时间:2015-08-26 08:39

修复时间:2015-10-10 13:24

公开时间:2015-10-10 13:24

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-26: 细节已通知厂商并且等待厂商处理中
2015-08-26: 厂商已经确认,细节仅向厂商公开
2015-09-05: 细节向核心白帽子及相关领域专家公开
2015-09-15: 细节向普通白帽子公开
2015-09-25: 细节向实习白帽子公开
2015-10-10: 细节向公众公开

简要描述:

去了一个社工库论坛,于是看到了大麦数据库,下载下来看看 于是就有了下面的内容!!!!

详细说明:

首先说明,大麦网站会员数据的库子并不是我拖的,我是在一个社工库论坛所见到,然后下载下来,供大麦官方认证下是否是大麦网站的会员数据!!!!如果是,希望大麦官方可以认真对待这个事件,如果不存在,那么就当我没提交过此漏洞!!!

漏洞证明:

1.首先我们访问大麦官方(www.damai.cn)这是他的官方网站。首先我们访问下!

大麦1.png


2.看下我在社工库一个网站下载的数据。

大麦2.png


大麦3.png


3.先解开MD5

4.jpg


5.png


4.我们尝试登录

成功登录.png


我们可以看到很多东西,下面截图证明。

数据泄露.png


有可能有人说 就这一个怎么能证明呢?那我们继续测试!

继续.png


解密.png


再次成功.png


测试就到这里,希望大麦网认真对待!
会员数据,泄露了手机号,订单,收货地址等。
下面提供一些大麦网会员数据供大家验证 也供厂商验证!!!
zhongzhan@yahoo.cn zhongzhan 纪小展
708822732@qq.com langmanfeiyang 玥宁
365128423@qq.com 082218 夏艳晴
三个够了吧 大家测试吧!!!

修复方案:

其实做为一名普通的白帽子,我很想对厂商说一句话,白帽子挖洞不容易,不要把我们的挖洞那辛勤的汗水辜负了,看到的漏洞,希望厂商认真对待,我们挖洞不容易,我相信厂商知道我说的什么意思。漏洞就算忽略了,感觉问题不大也要补上,补总比不补强,把网站变的安安全全的,这就是厂商需要做的。说的有点多,只是希望,厂商能认真对待网站的不足!
修复方案:通知大麦网站会员更改密码!谢谢!!!

版权声明:转载请注明来源 Alsn@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-08-26 13:22

厂商回复:

感谢提供的信息

最新状态:

暂无

漏洞评价:

评论

  1. 2015-08-26 08:46 | Mr .LZH ( 普通白帽子 | Rank:583 漏洞数:75 | 非妹子勿扰···)

    @大麦网 你们安全问题挺严重的,真得养几个牛逼的人好好把核心数据搞好。都强插你们数据库好几回,给你们提交不少注入了。

  2. 2015-08-26 09:04 | Alsn ( 实习白帽子 | Rank:32 漏洞数:4 | 在茫茫的网络海洋中,寻找那双正义,正能量...)

    我求高Rank买乌云的那个衣服~~~嘿嘿

  3. 2015-08-26 10:08 | 土夫子 ( 普通白帽子 | Rank:202 漏洞数:43 | 逆流而上,顺势而为)

    求社工库论坛地址

  4. 2015-08-26 10:34 | Alsn ( 实习白帽子 | Rank:32 漏洞数:4 | 在茫茫的网络海洋中,寻找那双正义,正能量...)

    @土夫子 等厂商确定了再说

  5. 2015-08-26 13:33 | linger118927 ( 路人 | Rank:8 漏洞数:1 | 想换工作,渗透方向 QQ:1018106997)

    @土夫子 求地址

  6. 2015-08-26 14:04 | Alsn ( 实习白帽子 | Rank:32 漏洞数:4 | 在茫茫的网络海洋中,寻找那双正义,正能量...)

    请问那啥乌云币怎么得

  7. 2015-08-26 14:07 | Alsn ( 实习白帽子 | Rank:32 漏洞数:4 | 在茫茫的网络海洋中,寻找那双正义,正能量...)

    两个乌云币,求WB啊 进不去社区

  8. 2015-08-26 15:46 | suolong ( 实习白帽子 | Rank:47 漏洞数:11 | 我有个野心,就是要成为世界第一的贱士!!)

    我觉得应该有不少情侣的手机号。

  9. 2015-08-27 09:10 | 小红猪 ( 普通白帽子 | Rank:194 漏洞数:30 | Wow~~~哈哈~~~)

    求社工库论坛地址

  10. 2015-08-27 09:20 | 齐迹 ( 普通白帽子 | Rank:784 漏洞数:100 | 重庆地区招聘安全工程师。)

    论坛已死,看样子大麦背景很不错嘛!

  11. 2015-08-27 11:10 | Alsn ( 实习白帽子 | Rank:32 漏洞数:4 | 在茫茫的网络海洋中,寻找那双正义,正能量...)

    其实我都说论坛让他关闭了 不关我也没办法

  12. 2015-08-27 13:21 | 海盗湾V ( 实习白帽子 | Rank:58 漏洞数:9 | Your entire life is online)

    这裤子不早就被拖了。

  13. 2015-08-27 17:57 | Alsn ( 实习白帽子 | Rank:32 漏洞数:4 | 在茫茫的网络海洋中,寻找那双正义,正能量...)

    很早被拖了 可是没人发 厂商也不知道 给他个提醒吧,密正不少嘞

  14. 2015-08-27 18:47 | 土夫子 ( 普通白帽子 | Rank:202 漏洞数:43 | 逆流而上,顺势而为)

    @Alsn 求私 社工库论坛 地址

  15. 2015-08-27 19:35 | Alsn ( 实习白帽子 | Rank:32 漏洞数:4 | 在茫茫的网络海洋中,寻找那双正义,正能量...)

    @土夫子 社工库都已经死了

  16. 2015-08-27 19:35 | Alsn ( 实习白帽子 | Rank:32 漏洞数:4 | 在茫茫的网络海洋中,寻找那双正义,正能量...)

    论坛已经死了

  17. 2015-08-27 19:52 | Knight ( 实习白帽子 | Rank:48 漏洞数:10 | 刚刚上洗手间,看到一个玉树临风的少年,气...)

    这裤子好久之前的了……这也能过?

  18. 2015-08-27 20:49 | Alsn ( 实习白帽子 | Rank:32 漏洞数:4 | 在茫茫的网络海洋中,寻找那双正义,正能量...)

    密正都在 测试成功为什么不能过???厂商有可能都不知道会员资料泄露

  19. 2015-08-27 23:10 | Archers ( 普通白帽子 | Rank:178 漏洞数:41 | baby)

    原来还可以这样刷WB,去社工库论坛找泄漏的数据来发

  20. 2015-08-27 23:19 | Martial ( 普通白帽子 | Rank:875 漏洞数:155 )

    原来还可以这样刷WB,去社工库论坛找泄漏的数据来发

  21. 2015-08-28 00:00 | Alsn ( 实习白帽子 | Rank:32 漏洞数:4 | 在茫茫的网络海洋中,寻找那双正义,正能量...)

    大麦网知道不知道数据泄露。所以就发了 我其实没说要多少WB还差3个进社区 他就给了那么多

  22. 2015-08-28 00:00 | Alsn ( 实习白帽子 | Rank:32 漏洞数:4 | 在茫茫的网络海洋中,寻找那双正义,正能量...)

    想进社区结识大牛

  23. 2015-08-30 00:24 | 八戒 ( 路人 | Rank:17 漏洞数:3 | ~~鬼畜之王~~)

    求社工库论坛地址

  24. 2015-08-30 13:54 | Desktd ( 实习白帽子 | Rank:72 漏洞数:11 | 背上行囊,就是过客;放下包袱,就找到了故乡.)

    这裤子很早就有了我都收藏很久了

  25. 2015-08-30 15:40 | Archers ( 普通白帽子 | Rank:178 漏洞数:41 | baby)

    @Desktd 私密地址一份