当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0169461

漏洞标题:全国某统计调查系统后台弱口令泄露全国省市农业局账号密码

相关厂商:cncert国家互联网应急中心

漏洞作者: 路人甲

提交时间:2016-01-18 15:20

修复时间:2016-03-06 14:18

公开时间:2016-03-06 14:18

漏洞类型:服务弱口令

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-18: 细节已通知厂商并且等待厂商处理中
2016-01-21: 厂商已经确认,细节仅向厂商公开
2016-01-31: 细节向核心白帽子及相关领域专家公开
2016-02-10: 细节向普通白帽子公开
2016-02-20: 细节向实习白帽子公开
2016-03-06: 细节向公众公开

简要描述:

后台弱口令

详细说明:

全国一村一品统计调查系统后台弱口令

**.**.**.**/wa/wa/ma3.jsp carry

涉及全国各省市农业局账号密码及调查结果。

漏洞证明:

0.jpg

1.jpg

2.jpg

5.jpg

0000.jpg

111.jpg

222.jpg

333.jpg

444.jpg

555.jpg

666.jpg

777.jpg

888.jpg

999.jpg

101010.jpg

12121212.jpg

<url>jdbc:oracle:thin:@**.**.**.**:1521:aims</url>
<driver-name>oracle.jdbc.OracleDriver</driver-name>
<properties>
<property>
<name>user</name>
<value>aims</value>
</property>
</properties>
<password-encrypted>{3DES}D5fVnrxqNgg=</password-encrypted>
</jdbc-driver-params>解密aims

QUEST_PPCM_ADVISORY_SNAP	1797632
QUEST_PPCM_TIME_SNAP 1528869
QUEST_PPCM_STATISTIC_SNAP 933755
G_LINE_ITEMS 501364
G_ORDERS 497487
AIM_SPECIAL_VILLAGE 328114
QUEST_PPCM_SQL_SNAPSHOT 211897
ET_20070412085803078720 169305
QUEST_PPCM_IOSTAT_SNAP 131742
QUEST_PPCM_SNAPSHOT 84586
AIM_SPECIAL_BASE_HIS 15182
PUB_STRU_EXT 14440
AIM_ORGAN_MATERIAL 14058
AIM_ORGAN_INFO_HIS 13718
AIM_ORGAN_PRODUCT 13688
AIM_ORGAN_BRIEF 13290
AIM_ORGAN_REPORT 12381
AIM_ORGAN_ECONOMY 12201
ET_20070412010295200056 11740
AIMS_ORGAN_MAPPING 9401
ET_20070412082622671173 9297
ET_20070412083352109807 9266
PUB_ORGAN 7273
PUB_STRU 7265
QUEST_PPCM_SQL_TEXT 6859
DIC_CITY 6454
BPS_DEPT 6189
SR_CODEITEM 6047
DIC_ITEM 4375
PUB_USER_ROLE 3991
AIM_ORGAN_DRIVE 3698
PUB_USERS 3623
PUB_USER_EMPLOYEE 3621
PUB_USER_POLICY 3617
PUB_USER_DATA_PERMIT 3605

修复方案:

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2016-01-21 14:22

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向国家中心上报,由其后续协调网站管理单位处置。

最新状态:

暂无


漏洞评价:

评价