当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-091859

漏洞标题:中国电信深圳分公司VPN配置文件泄露可能导致内网漫游

相关厂商:中国电信

漏洞作者: 小饼仔

提交时间:2015-01-14 18:53

修复时间:2015-02-28 18:54

公开时间:2015-02-28 18:54

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:18

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-14: 细节已通知厂商并且等待厂商处理中
2015-01-19: 厂商已经确认,细节仅向厂商公开
2015-01-29: 细节向核心白帽子及相关领域专家公开
2015-02-08: 细节向普通白帽子公开
2015-02-18: 细节向实习白帽子公开
2015-02-28: 细节向公众公开

简要描述:

漫游之

详细说明:

VPN配置文件来自深圳电信某员工邮箱
员工邮箱账号密码

mask 区域
*****@189.c*****


222222222.jpg


文件内容如下

主题:vpn操作方法,请注意保密
附件后缀改为reg
请按以下设置,即可连接到内部VPN。
1、打开附件,双击oa附件中的vpn.reg,选择导入注册表,重启计算机;
2、打开控制面板-网络连接;
3、创建一个新的连接;
4、选择连接到工作场所;
5、选择虚拟专用网络连接(通过Internet);
6、公司名任意填,如sztelecom;
7、选择不拨初始连接,不使用智能卡;
8、主机名或IP地址:61.144.243.3;
9、选择任何人可使用;
10、选择在桌面添加快捷方式;
11、右键点击新建的虚拟网络连接,选择属性,在对话框-网络-VPN类型中,选择L2TP
IPsec VPN后确定;
12、双击桌面快捷方式进行连接,输入用户名:szpanxy 密码:pan9882


vpn.reg附件下载地址:

链接: http://pan.baidu.com/s/1hqtefMO 密码: oagz


漏洞证明:

333.jpg


mask 区域
***** -*****
*****20.102 -*****
*****^^理地址 *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****

修复方案:

版权声明:转载请注明来源 小饼仔@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-01-19 12:13

厂商回复:

CNVD确认所述情况,已经转由CNCERT向中国电信通报。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-01-15 01:26 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    给我开100M带宽

  2. 2015-01-15 11:23 | 小饼仔 ( 普通白帽子 | Rank:363 漏洞数:48 | 不告诉你)

    @子非海绵宝宝 你要下片儿吗? haha