记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

中国节能环保集团公司邮箱系统设计缺陷可撞库爆破已获取多个账户权限(内部信息、敏感信息)

2015-12-26 13:00

中国节能环保集团公司邮箱系统登录口

code 区域
https://**.**.**.**/owa/auth/logon.aspx



mail.png



无验证码,可爆破。



burp抓包,top500导入,密码123456789,获得了一些弱口令账户。

code 区域
zhangmin

lijing

wangmin

zhangyan

zhangtao

wangtao

wangjuan

liujie

lili

liufang

liuyan

liujun

wanghui

wangdan

lidan

liujing

lihong

wangfei

lifang

libo

wangbin

zhanghui

libin

wanghao

chenjie

wangkai

lili

wangbo

liudan

liuyan

lixue

wangjian

wangxue

yangjun

wangning

lilin

liulei

liupeng

zhangxue

wangqin

wangjian

zhangyun

yangliu

chenbo

wangyun

chenpeng

lijia

chenxia

wanglong

chenyun

lishuai

chenjie

yangling

lilin

zhaoli

zhaoyong

liuyu

zhangying

zhanghong

zhangying

zhangjianhua

zhangfang

wangtingting

liujianhua

zhangying

lixiaohong



登录其中一个账号,从通讯录里将所有邮箱用户导出整理,按照上述步骤批量测试,发现所有邮箱用户里使用弱口令123456789的共有73人,账号列表如下:

code 区域
chenbo

chenjie

chenjun

chenlu03

chenpeng

chenxia

chenyun

duanwei

jianglk

libin

libo

lidan

lifang

lijia

lijing

lijingnan

lili

lilin

liqiang02

lishuai

liudan

liufang

liujianhua

liujie

liujing

liujun

liulei

liupeng

liuwei

liuwei04

liuyan

liuyu

lixiaohong

lixue

pufei

renxueli

shenchao

sunyong01

wangbin

wangbo

wangdan

wangfei

wanghao

wanghui

wangjian

wangjuan

wangkai

wanglong

wangmin

wangning

wangqin

wangtao

wangtingting

wangxue

wangyun

xufei

yangjun

yangling

yangliu

zhangfang

zhanghong

zhanghui

zhangjianhua

zhangmin

zhangtao

zhangxue

zhangyan

zhangying

zhangyun

zhaoli

zhaoyong

zhouxuan

zhujie



登录其中几个邮箱

ppt.png



内部培训文档

dwg.png



图纸

txl.png



txl1.png



公司通讯录

xls.png



xls1.png



xl2.png



xls3.png



敏感信息

漏洞证明:

xls.png



xls1.png



xl2.png



xls3.png

修复方案:

1、加验证码。



2、修改强密码,严禁使用弱密码。


知识来源: www.wooyun.org/bugs/wooyun-2015-0152622

阅读:236582 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“中国节能环保集团公司邮箱系统设计缺陷可撞库爆破已获取多个账户权限(内部信息、敏感信息)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

广而告之 💖

标签云 ☁