当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0211703

漏洞标题:再次进入驴妈妈内网

相关厂商:驴妈妈旅游网

漏洞作者: sqlfeng

提交时间:2016-05-22 16:05

修复时间:2016-07-06 17:20

公开时间:2016-07-06 17:20

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-05-22: 细节已通知厂商并且等待厂商处理中
2016-05-22: 厂商已经确认,细节仅向厂商公开
2016-06-01: 细节向核心白帽子及相关领域专家公开
2016-06-11: 细节向普通白帽子公开
2016-06-21: 细节向实习白帽子公开
2016-07-06: 细节向公众公开

简要描述:

Have a nice weekend !

详细说明:

VPN服务器是直接内网用户帐号密码认证的直接拨号
大数据匹配一批帐号密码,尝试登录PPTP,出来一枚VPN帐号密码

maxiaoqian    19217254


直接PPTP拨号

QQ截图20160522141549.png


连接成功
以前进过内网,贴图证明即可

漏洞证明:

QQ截图20160522142415.png


QQ截图20160522142459.png


报表系统,sql注入

QQ截图20160522142521.png


弱口令 admin cisco

QQ截图20160522142940.png


摄像头

QQ截图20160522143733.png


上次的mysql root root 还没修复

QQ截图20160522143946.png


集团OA系统

QQ截图20160522143953.png


不知道是啥,没看

QQ截图20160522150219.png


wiki

QQ截图20160522151805.png


内部BBS

QQ截图20160522151154.png


修复方案:

加强密码策略!

版权声明:转载请注明来源 sqlfeng@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2016-05-22 17:16

厂商回复:

thx

最新状态:

暂无


漏洞评价:

评价

  1. 2016-05-22 16:42 | 爱偷懒的98 ( 普通白帽子 | Rank:170 漏洞数:60 | 从前车马邮件都很慢,一生只够爱一个人。)

    厉害了

  2. 2016-05-22 17:31 | zone ( 普通白帽子 | Rank:111 漏洞数:21 | as as- as you wish)

    666

  3. 2016-05-22 20:41 | jackyu ( 路人 | Rank:28 漏洞数:18 | 世界上没有一个系统是绝对安全的,系统最大...)

    屌屌屌屌屌屌

  4. 2016-05-23 09:21 | 土夫子 ( 普通白帽子 | Rank:527 漏洞数:88 | 看似山穷水尽,终将柳暗花明)

    带我飞