当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-095795

漏洞标题:长沙有道公司信息泄露(可漫游沦陷公司和第三方整体网络控制)

相关厂商:长沙有道

漏洞作者: 刘洪泽

提交时间:2015-02-06 10:52

修复时间:2015-03-23 10:52

公开时间:2015-03-23 10:52

漏洞类型:内部绝密信息泄漏

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-02-06: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-03-23: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

实在敏感。服务挺重要的,如果真的全部控制这些服务,确实对这公司是毁灭性的啊,因为我们可以利用这些深入,比如社工什么的控制业务。发布企业信息,诈骗。因为大学生都很好骗。。能联系上更好。咱和RMB洞主比不了啊,共勉。O(∩_∩)O

详细说明:

某天无意间在互联网上扫到的很多password。
可能出自一篇文档。
看了看,这是不是就属于无条件控制业务逻辑。所以选的高危,也不懂。。

1陈燕燕
百度贴吧:
http://tieba.baidu.com/i/280830037
账号:2473914322@qq.com    密码:yd82059760   
百度百科 
http://baike.baidu.com/  
账号:2473914322@qq.com    密码:yd82059760
百度知道:
http://zhidao.baidu.com/ 
账号:2473914322@qq.com    密码:yd82059760  
百度空间
http://hi.baidu.com/%B3%A4%C9%B3%D3%D0%B5%C0%CD%D8%D5%B9/iho
me/ihomefeed 
账号:2473914322@qq.com    密码:yd82059760
58同城网:
http://my.58.com/  
账号:csyoudao    密码:yd82059760    邮箱:
2473914322@qq.com  
长沙百姓网:
http://www.baixing.com/fabu/?src=zhuce&city=changsha 
账号:13467670861  密码:csyoudao 
网易邮箱: 
http://webmail.mail.163.com/js4/main.jsp?sid=VBKGUupwgOjpNINCCywwodOcF
VFQJhOi#module=welcome.WelcomeModule   账号:15576623580   密码:csyoudao 
csyoudao@163.com   密码:yd82059760   
新浪播客:
http://blog.sina.com.cn/u/2789274714 
邮箱:csyoudao@163.com   密码:csyoudao     昵称:长沙有道拓展培训机构  
优酷  http://i.youku.com/u/home/  邮箱:2473914322@qq.com    密码:csyoudao   昵称:长沙有道企业
2余佳乐 
土豆  
http://www.tudou.com/my/setting/regInterest.action  邮箱:
2473914322@qq.com    密码:csyoudao   昵称:长沙有道企业   
阿里巴巴公司库
(世界经理人网站) 
http://www.ceconlinebbs.com/gl/%B0%A2%C0%EF%B0%CD%B0%CD%B9%AB
%CB%BE%BF%E2.htm  邮箱:
510664885@qq.com    密码:csyoudao   昵称:长沙有道企业
八方培训网 
http://www.08px.com/User/OInfoEdit.aspx  邮箱:
2473914322@qq.com    密码:csyoudao   昵称:长沙有道企业  
(五一同城)
http://www.51tie.com/member/index.php?SystemId=2&main=post_company.php 申请开需要3000积分  邮箱:
csyoudao@163.com      密码:csyoudao   昵称:长沙有道企业  
 豆瓣网  
http://www.douban.com/  邮箱:csyoudao@163.com      密码:csyoudao   昵称:长沙有道企业   
长沙培训通  
http://cs.pxto.com.cn/User/main.asp 邮箱:510664885@qq.com     密码:csyoudao   用户名:长沙有道拓展  
长沙信息港   http://www.csnis.com/  账号:长沙有道企业    密码:csyoudao     邮箱:csyoudao@163.com 
环球经贸网 
http://member.nowec.com/  登录名:csyoudao   密码:csyoudao    邮箱:510664885@qq.com    
灯火网http://www.denghuo.com/Reg_submit.asp  登录名:csyoudao   密码:csyoudao    邮箱:2471974703@qq.com    
易维企业服务网   http://admin.ev123.com/index.php  用户名:csyoudao   密码:csyoudao     邮箱:2473914322@qq.com  
网络114   
http://users.net114.com/member_new/info.html    用户名:csyoudao   密码:csyoudao     邮箱:2473914322@qq.com 
3邓灿  中华企业录http://www.qy6.com/myqy6/index.php  用户名:csyoudao   密码:csyoudao     邮箱:2473914322@qq.com   
列表网   http://changsha.liebiao.com/      用户名:长沙有道企业     密码:csyoudao   
洋溪信息港  http://www.417628.org/bbs/u.php?verify=651f121d 
用户名:长沙有道企业  密码:csyoudao 邮箱:2473914322@qq.com  
赶集网:
http://cs.ganji.com/?ca_name=hao360_hao360_011_quanguoshouye 账号:有道2012    密码:youdao2012   
天天招生网http://www.365zhaosheng.com/user/index.asp?UName=csyoudao 用户名:csyoudao   密码:csyoudao   邮箱:2473914322@qq.com   
口碑网(长沙圈)
http://www.0731koubei.com/   账户:长沙有道企业    密码:csyoudao   邮箱:csyoudao@163.com 
4吴杉  SOSO百科http://baike.soso.com/(只能创建词条,而且写不了几个字) 账号:2473914322   密码:youdao2012  
百业网
http://member.100ye.com/manage/manage.asp 账号:csyoudao   密码:csyoudao   
搜狐博客http://blog.sohu.com/  用户名:csyoudao@163.com    密码:csyoudao   
网易博客 
http://blog.163.com/csyoudao/manage/?from=newreg&entry=blog#m=0&t=0 账号:
csyoudao@163.com     密码:yd82059760  
搜狗 http://ie.sogou.com/skins/?route=ucenter/signup/signupsuc&uid=nKfcoNiYk6KiaJeX
ZpWgzg==  账号:csyoudao@163.com     密码:csyoudao    
天涯播客 http://my.tianya.cn/69987008#app=mobile_cellphone&action=smsopen 
用户名:长沙有道企业   密码:csyoudao  邮箱:
csyoudao@163.com 认证手机:18684979470     
QQ空间 http://user.qzone.qq.com/2473914322/infocenter 账号2473914322     密码:youdao2012   
神州培训网 
http://www.szpxe.com/service/view/54507 
用户名:csyoudao   密码:csyoudao   邮箱:2473914322@qq.com 
(长沙理工大学,一缕阳光)
http//www.3bbs.net 
(湖南大学,红枫论坛)http//bbs.hnubbs.com 用户名:艾肯杜 密码:tongcong 
5
彭海霞  红网:
http://reg.rednet.cn/member.asp 
猫扑:http://dzh.mop.com/#/2010/right.jsp 
天涯:http://my.tianya.cn/ 
华声:http://bbs.voc.com.cn/  
西祠胡同:http://www.xici.net/ 
以上的用户名和密码都是一样的  用户名:hnicando  密码:85214530   
湖湘驴友社区:
http://bbs.hxoutdoor.com/  
湘长沙驴友部落:
http://hiker.xout.cn/forumdisplay.php?fid=1547 
湖南论坛:http://bbs.hn87.com/  用户名:微微0213  密码:7820455dg     
百度贴吧用户名是:微微850213    http//bbs.qilibali.com(七里八里网) http//www.cstong.net(长沙通)  http//www.chihewanle.com(吃喝玩乐网) 用户名:艾肯杜 密码通用:tongcong


公司网址http://www.csyoudao.com/
经营范围:企业内训,户外拓展训练,真人CS野战,特色旅游,商务会议,年会,大学生创业培训和职前培训,青少年素质教育,军训,夏令营,亲子活动,大型户外活动策划。
在长沙很不错的样子。所以应该有人维护吧。
公司邮箱多敏感都明白

QQ图片20150205144333.png


第三方管理后台,不深入了,应该有搞头

QQ图片20150205144415.png


赶集

QQ图片20150205144450.png


搜狐

QQ图片20150205144552.png


优酷

QQ图片20150205144744.png


58同城

QQ图片20150205144811.png


剩下的不一一来了
还有大学的,这样容易造成诈骗好吧。
就这样。

漏洞证明:

QQ图片20150205144333.png


QQ图片20150205144415.png


QQ图片20150205144450.png


QQ图片20150205144552.png


QQ图片20150205144744.png


QQ图片20150205144811.png

修复方案:

#提高安全意识
#避免密码泄露

版权声明:转载请注明来源 刘洪泽@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论