记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

胡莱游戏运维失责造成内部敏感数据泄露(离职人员帐号未注销)

2015-01-02 18:05

之所以叫运维失责呢,是因为这个洞关联的是一个已离职人员的邮箱.已离职的应该删除邮箱账号.

github上搜索hoolai.com

https://github.com/chenlian2015/elexchrome/blob/efe440aa96368fe03dac9419b7ec6d1de84aab8c/studydoc/%E5%B8%90%E5%8F%B7.txt

登录之.

lz.png



看下邮件里面,有内网svn地址账号啥的,

其中有个地址

https://my.hoolai.com/

外网可访问,

扫描端口,3306开启了.

正愁该怎么走下一步,于是顺手翻了翻乌云漏洞,厂商有一个信息侧漏了.

(感谢@Desert WooYun: 胡莱三国命令执行漏洞

test.png



连之.

竟然连上了.这个... 去年的洞..

翻了翻... 全是公司内部信息,各种人员入职信息.绩效啥的.还有这个..

gaikaoqin.png



可以改考勤咯...

漏洞证明:

见详细说明

修复方案:

限制外网访问.

知识来源: www.wooyun.org/bugs/wooyun-2015-083745

阅读:77314 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“胡莱游戏运维失责造成内部敏感数据泄露(离职人员帐号未注销)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云