当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-097822

漏洞标题:湖南移动未授权查看员工信息(包括密码等)

相关厂商:10086.cn

漏洞作者: 无心、

提交时间:2015-02-20 19:44

修复时间:2015-04-06 19:46

公开时间:2015-04-06 19:46

漏洞类型:系统/服务运维配置不当

危害等级:中

自评Rank:8

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-02-20: 细节已通知厂商并且等待厂商处理中
2015-02-28: 厂商已经确认,细节仅向厂商公开
2015-03-10: 细节向核心白帽子及相关领域专家公开
2015-03-20: 细节向普通白帽子公开
2015-03-30: 细节向实习白帽子公开
2015-04-06: 细节向公众公开

简要描述:

目录直接看不了。。。

详细说明:

http://dl.xxt.hn.chinamobile.com/talkweb/数据割接(勿删)/20140321割接/红塔/36.txt


[TXT] 01.txt 21- -2014 12:29 681
[TXT] 02.txt 21- -2014 12:30 236K
[TXT] 04.txt 21- -2014 12:30 1.2M
[TXT] 06.txt 21- -2014 12:31 1.0M
[TXT] 07娄底.txt 21- -2014 12:36 17K
[TXT] 07永州.txt 21- -2014 12:41 4.6M
[TXT] 07益阳.txt 21- -2014 12:36 1.0M
[TXT] 07衡阳.txt 21- -2014 12:35 12M
[TXT] 07邵阳.txt 21- -2014 12:39 13M
[TXT] 07郴州.txt 21- -2014 12:35 363
[TXT] 07长沙.txt 21- -2014 12:33 792K
[TXT] 08娄底.txt 21- -2014 16:57 9.7K
[TXT] 08永州.txt 21- -2014 16:59 2.8M
[TXT] 08益阳.txt 21- -2014 16:56 616K
[TXT] 08衡阳.txt 21- -2014 16:55 7.6M
[TXT] 08邵阳.txt 21- -2014 16:59 8.4M
[TXT] 08郴州.txt 21- -2014 16:56 223
[TXT] 08长沙.txt 21- -2014 16:53 578K
[TXT] 10.txt 21- -2014 13:01 1.2M
[TXT] 11.txt 21- -2014 13:02 914K
[TXT] 12.txt 21- -2014 13:02 1.2M
[TXT] 13.txt 21- -2014 13:03 5.4K
[TXT] 14永州.txt 21- -2014 13:06 2.1M
[TXT] 14衡阳.txt 21- -2014 13:04 117K
[TXT] 14邵阳.txt 21- -2014 13:05 3.6K
[TXT] 15.txt 21- -2014 13:06 20K
[TXT] 16.txt 21- -2014 13:06 22K
[TXT] 17衡阳.txt 21- -2014 13:07 294
[TXT] 18衡阳.txt 21- -2014 13:08 148
[TXT] 19.txt 21- -2014 13:09 1.8M
[TXT] 20.txt 21- -2014 13:09 443
[TXT] 21.txt 21- -2014 13:10 411
[TXT] 22.txt 21- -2014 13:10 590
[TXT] 23.txt 21- -2014 13:10 53K
[TXT] 24.txt 21- -2014 13:11 83K
[TXT] 25.txt 21- -2014 13:11 480
[TXT] 26永州.txt 21- -2014 17:04 1.7M
[TXT] 26益阳.txt 21- -2014 17:02 457K
[TXT] 26衡阳.txt 21- -2014 17:01 7.0M
[TXT] 26邵阳.txt 21- -2014 17:03 4.3M
[TXT] 26郴州.txt 21- -2014 17:01 219
[TXT] 26长沙.txt 21- -2014 17:00 16K
[TXT] 27永州.txt 21- -2014 13:20 1.0K
[TXT] 27衡阳.txt 21- -2014 13:18 1.8K
[TXT] 27邵阳.txt 21- -2014 13:19 2.5K
[TXT] 27郴州.txt 21- -2014 13:19 149
[TXT] 28.txt 21- -2014 13:20 4.9K
[TXT] 29.txt 21- -2014 13:20 356K
[TXT] 31永州.txt 21- -2014 13:23 692
[TXT] 31益阳.txt 21- -2014 13:22 259
[TXT] 31衡阳.txt 21- -2014 13:21 357
[TXT] 33.txt 21- -2014 13:23 69K
[TXT] 35.txt 21- -2014 13:24 1.9M
[TXT] 36.txt 21- -2014 13:24 2.3K
[TXT] 37永州.txt 21- -2014 17:22 30M
[TXT] 37衡阳.txt 21- -2014 17:10 121M
[TXT] 37邵阳.txt 21- -2014 17:19 91M
[TXT] 38永州.txt 21- -2014 17:16 12M
[TXT] 38益阳.txt 21- -2014 17:12 2.1M
[TXT] 38衡阳.txt 21- -2014 17:10 24M
[TXT] 38邵阳.txt 21- -2014 17:15 35M
[TXT] 38长沙.txt 21- -2014 17:07 210K
[TXT] 39.txt 21- -2014 13:28 1.7M
[TXT] 41永州.txt 21- -2014 13:31 108K
[TXT] 41益阳.txt 21- -2014 13:30 25K
[TXT] 41衡阳.txt 21- -2014 13:29 1.9M
[TXT] 41邵阳.txt 21- -2014 13:31 261K
[TXT] 41长沙.txt 21- -2014 13:30 127K
[TXT] 42.txt 21- -2014 13:32 2.6M
[TXT] 45.txt 21- -2014 13:33 1.4K
[TXT] 46.txt 21- -2014 13:33 25K
[TXT] 47.txt 21- -2014 13:34 7.9K
[TXT] 52永州.txt 21- -2014 13:38 184K
[TXT] 52益阳.txt 21- -2014 13:36 50K
[TXT] 52衡阳.txt 21- -2014 13:35 695K
[TXT] 52邵阳.txt 21- -2014 13:37 727K
[TXT] 52长沙.txt 21- -2014 13:35 452
[TXT] 53.txt 21- -2014 13:39 18M
[TXT] 67.txt 21- -2014 13:40 108K
[TXT] 68.txt 21- -2014 13:40 2.9K
[TXT] 73.txt 21- -2014 13:41 740
[TXT] 80.txt 21- -2014 13:41 1.5K
[TXT] 93.txt 21- -2014 13:42 29K
[TXT] 98.txt 21- -2014 13:43 286K
[TXT] 99.txt 21- -2014 13:43 1.4K

漏洞证明:

3.png

修复方案:

版权声明:转载请注明来源 无心、@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-02-28 17:54

厂商回复:

CNVD确认所述情况,转由CNCERT向中国移动通报。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-04-07 09:24 | 我能拒绝么 ( 路人 | Rank:10 漏洞数:3 | 疯爆志林)

    这目录你是如何猜到的

  2. 2015-04-08 22:02 | 大饭刚 ( 实习白帽子 | Rank:49 漏洞数:10 | 吃饭,喝酒,挖洞洞)

    对呀,你这个目录是如何猜到的

  3. 2015-04-10 09:35 | 黄大胖 ( 路人 | Rank:0 漏洞数:1 | 努力做一个安静的白帽子)

    这目录都猜的出来。。。

  4. 2015-04-10 11:01 | 我能拒绝么 ( 路人 | Rank:10 漏洞数:3 | 疯爆志林)

    我觉得很有可能是猜到第一阶目录后存在目录列表然后就有了下面的内容了

  5. 2015-04-12 18:20 | 孤独行者 ( 普通白帽子 | Rank:110 漏洞数:44 | 时光如水,总是无言。你若安好,便是晴天)

    @我能拒绝么 @黄大胖 @大饭刚 @我能拒绝么 大号被封了。。目录是直接谷歌出来的。。具体。。不告诉你们

  6. 2015-04-13 09:39 | 我能拒绝么 ( 路人 | Rank:10 漏洞数:3 | 疯爆志林)

    @孤独行者 这都能谷歌出来,醉了

  7. 2015-04-13 10:15 | 孤独行者 ( 普通白帽子 | Rank:110 漏洞数:44 | 时光如水,总是无言。你若安好,便是晴天)

    @我能拒绝么 gogole ‘site:dl.xxt.hn.chinamobile.com/ filetype:txt 密码’

  8. 2015-04-13 14:32 | 我能拒绝么 ( 路人 | Rank:10 漏洞数:3 | 疯爆志林)

    @孤独行者 给力,都还搜的出东西。给你个海康威视的 intext:"Hikvision" inurl:"login.asp"默认密码admin/12345不要看到了不该看的

  9. 2015-04-13 14:47 | 孤独行者 ( 普通白帽子 | Rank:110 漏洞数:44 | 时光如水,总是无言。你若安好,便是晴天)

    @我能拒绝么 乌云都有了。。。