当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-097827

漏洞标题:某漏洞导致文化部全国所有机构沦陷(影响全国各省市县乡)

相关厂商:中华人民共和国文化部

漏洞作者: 刘洪泽

提交时间:2015-02-20 19:41

修复时间:2015-04-06 19:42

公开时间:2015-04-06 19:42

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-02-20: 细节已通知厂商并且等待厂商处理中
2015-03-02: 厂商已经确认,细节仅向厂商公开
2015-03-12: 细节向核心白帽子及相关领域专家公开
2015-03-22: 细节向普通白帽子公开
2015-04-01: 细节向实习白帽子公开
2015-04-06: 细节向公众公开

简要描述:

可查阅全国各省市县乡政府内部文件。
涉及全国所有省市县乡机构,画面太美
用猪猪侠的话说就是
涉及用户量多的大多数系统会根据自身的业务特性,有许多格式用于排号数据,如果人员安全意识未进行严谨的安全控制或判断,将会促进骇客加快攻击应用程序的过程,大大降低了骇客发现威胁的人力成本。同时随着网络安全意识越来越不深入民心,将给系统带来最大的威胁。哈哈
http://www.stats.gov.cn/tjsj/tjbz/xzqhdm/201401/t20140116_501070.html
以上是影响的全国地区:(

详细说明:

问题出在这个系统

http://114.255.59.61/


QQ图片20150220183718.jpg


发现县区汇总登陆帐号格式是
行政区划代码+HZTJ
(而行政代码是公开的,也就是意味着全国所有地区都被影响!
密码为默认的999999
行政区划代码地址:

http://www.stats.gov.cn/tjsj/tjbz/xzqhdm/201401/t20140116_501070.html


例如北京市行政区划110000,那么登陆账号就是110000HZTJ
密码为999999
其他也是如此,就以几个省为例
北京市

QQ图片20150220184401.png


天津市120000HZTJ

QQ图片20150220184605.png


河北省130000HZTJ

QQ图片20150220184717.png


内蒙古自治区150000HZTJ

QQ图片20150220185027.png


号的,剩下的区市县乡就不一一证明了!
以北京市为例我们看看,这系统怎么玩
这个可以直接到处那么多资料,这就叫脱了吧!

QQ图片20150220185603.png

QQ图片20150220185550.png


QQ图片20150220185510.png


QQ图片20150220185401.png

电脑有点不好带不起!
这仅仅是一个市,一小段时间的档案

QQ图片20150220185841.png


这叫政府内部信息了吧!随意提阅导出某时间段的档案文件。浏览器太卡,便不再深入了

QQ图片20150220190001.jpg


QQ图片20150220190101.png


可上报,审核,导出,查阅,发送信息,删除等这些政府文件。
大危害!浏览器问题不深入。

漏洞证明:

QQ图片20150220185841.png


QQ图片20150220190001.jpg


QQ图片20150220190101.png

修复方案:

#妥善对待网络边界
#避免大范围有规律的排号
#严格限制

版权声明:转载请注明来源 刘洪泽@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-03-02 08:32

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2015-02-20 20:33 | 小呆呆 ( 实习白帽子 | Rank:41 漏洞数:7 | 每次有人骂我猪我都说我偶像也是猪)

    好文笔

  2. 2015-02-20 21:08 | 咸鱼翻身 ( 普通白帽子 | Rank:576 漏洞数:108 )

    男佣哦Ծ‸