中国节能环保集团公司邮箱系统设计缺陷可撞库爆破已获取多个账户权限(内部信息、敏感信息)

记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

首页

网络安全

移动安全

招聘信息

黑客关键词

海外英文版

«中国联通某重要站点SQL注入(近百万合作企业...

JAVA序列化和反序列化，以及漏洞补救... »

中国节能环保集团公司邮箱系统设计缺陷可撞库爆破已获取多个账户权限(内部信息、敏感信息)

2015-12-26 13:00

中国节能环保集团公司邮箱系统登录口

code 区域

https://**.**.**.**/owa/auth/logon.aspx

无验证码，可爆破。

burp抓包，top500导入，密码123456789，获得了一些弱口令账户。

code 区域

zhangmin

lijing

wangmin

zhangyan

zhangtao

wangtao

wangjuan

liujie

lili

liufang

liuyan

liujun

wanghui

wangdan

lidan

liujing

lihong

wangfei

lifang

libo

wangbin

zhanghui

libin

wanghao

chenjie

wangkai

lili

wangbo

liudan

liuyan

lixue

wangjian

wangxue

yangjun

wangning

lilin

liulei

liupeng

zhangxue

wangqin

wangjian

zhangyun

yangliu

chenbo

wangyun

chenpeng

lijia

chenxia

wanglong

chenyun

lishuai

chenjie

yangling

lilin

zhaoli

zhaoyong

liuyu

zhangying

zhanghong

zhangying

zhangjianhua

zhangfang

wangtingting

liujianhua

zhangying

lixiaohong

登录其中一个账号，从通讯录里将所有邮箱用户导出整理，按照上述步骤批量测试，发现所有邮箱用户里使用弱口令123456789的共有73人，账号列表如下：

code 区域

chenbo

chenjie

chenjun

chenlu03

chenpeng

chenxia

chenyun

duanwei

jianglk

libin

libo

lidan

lifang

lijia

lijing

lijingnan

lili

lilin

liqiang02

lishuai

liudan

liufang

liujianhua

liujie

liujing

liujun

liulei

liupeng

liuwei

liuwei04

liuyan

liuyu

lixiaohong

lixue

pufei

renxueli

shenchao

sunyong01

wangbin

wangbo

wangdan

wangfei

wanghao

wanghui

wangjian

wangjuan

wangkai

wanglong

wangmin

wangning

wangqin

wangtao

wangtingting

wangxue

wangyun

xufei

yangjun

yangling

yangliu

zhangfang

zhanghong

zhanghui

zhangjianhua

zhangmin

zhangtao

zhangxue

zhangyan

zhangying

zhangyun

zhaoli

zhaoyong

zhouxuan

zhujie