当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0157762

漏洞标题:中粮集团有限公司多个系统漏洞打包(弱口令/XSS)

相关厂商:中粮集团有限公司

漏洞作者: Ysql404

提交时间:2015-12-03 10:44

修复时间:2016-01-17 14:04

公开时间:2016-01-17 14:04

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-03: 细节已通知厂商并且等待厂商处理中
2015-12-03: 厂商已经确认,细节仅向厂商公开
2015-12-13: 细节向核心白帽子及相关领域专家公开
2015-12-23: 细节向普通白帽子公开
2016-01-02: 细节向实习白帽子公开
2016-01-17: 细节向公众公开

简要描述:

涉及多个系统,可否走大厂商呢:)

详细说明:

01 中粮屯河股份有限公司 企微云平台—微信企业号免费应用管理平台弱口令
泄漏中粮屯河所有员工联系方式、邮箱、手机号、微信号等,使用手机登录可发微信、打电话
密码都为123456

5939	chenchao	200	false	false	455	
6088 chenmo 200 false false 455
38635 peiling 200 false false 455
59087 yangxi 200 false false 455


QQ图片20151202183223.jpg


泄漏所有员工信息

QQ图片20151202183310.png


QQ图片20151202183417.png


存储型XSS注入,存在XSS注入的地方较多请自行排查;

QQ图片20151202183619.jpg


其他功能

QQ图片20151202201126.png


QQ图片20151202201215.jpg


可以上传jsp文件,但无法执行,可惜了:)
02 http://fax.cofcotunhe.com/ 中粮屯河传真服务器弱口令,密码都为123456

6	zhangmin	302	false	false	610	
8 wangjing 302 false false 610
11 zhangli 302 false false 609
7 lijing 302 false false 608
13 wangli 302 false false 608
4 liwei 302 false false 607
5 lina 302 false false 606


QQ图片20151202201706.png


QQ图片20151202201738.jpg


QQ图片20151202201818.jpg

漏洞证明:

03 中粮屯河网络学院弱口令,用户名、密码都为姓名拼写

45	zhangqiang	200	false	false	641	
120 zhangying 200 false false 641
131 liuchao 200 false false 641
153 zhangxu 200 false false 641
451 zhaojun 200 false false 641
9 liuwei 200 false false 571
14 zhangjing 200 false false 571
59 liguiying 200 false false 571
192 chengang 200 false false 571


QQ图片20151202202308.png


QQ图片20151202202428.jpg


QQ图片20151202202456.jpg


QQ图片20151202202533.jpg


QQ图片20151202202644.jpg

修复方案:

你们更专业,求走大厂商:)

版权声明:转载请注明来源 Ysql404@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-12-03 14:03

厂商回复:

非常感谢,马上整改!

最新状态:

暂无


漏洞评价:

评价