记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

某漏洞导致文化部全国所有机构沦陷(影响全国各省市县乡)

2015-04-06 21:36

问题出在这个系统

code 区域
http://114.255.59.61/



QQ图片20150220183718.jpg



发现县区汇总登陆帐号格式是

行政区划代码+HZTJ

(而行政代码是公开的,也就是意味着全国所有地区都被影响!

密码为默认的999999

行政区划代码地址:

code 区域
http://www.stats.gov.cn/tjsj/tjbz/xzqhdm/201401/t20140116_501070.html



例如北京市行政区划110000,那么登陆账号就是110000HZTJ

密码为999999

其他也是如此,就以几个省为例

北京市

QQ图片20150220184401.png



天津市120000HZTJ

QQ图片20150220184605.png



河北省130000HZTJ

QQ图片20150220184717.png



内蒙古自治区150000HZTJ

QQ图片20150220185027.png



号的,剩下的区市县乡就不一一证明了!

以北京市为例我们看看,这系统怎么玩

这个可以直接到处那么多资料,这就叫脱了吧!

QQ图片20150220185603.png

QQ图片20150220185550.png



QQ图片20150220185510.png



QQ图片20150220185401.png

电脑有点不好带不起!

这仅仅是一个市,一小段时间的档案

QQ图片20150220185841.png



这叫政府内部信息了吧!随意提阅导出某时间段的档案文件。浏览器太卡,便不再深入了

QQ图片20150220190001.jpg



QQ图片20150220190101.png



可上报,审核,导出,查阅,发送信息,删除等这些政府文件。

大危害!浏览器问题不深入。







漏洞证明:

QQ图片20150220185841.png



QQ图片20150220190001.jpg



QQ图片20150220190101.png

修复方案:

#妥善对待网络边界



#避免大范围有规律的排号



#严格限制

知识来源: www.wooyun.org/bugs/wooyun-2015-097827

阅读:85841 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“某漏洞导致文化部全国所有机构沦陷(影响全国各省市县乡)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云