记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

阿里巴巴某内部系统弱口令多个(中国站)

2015-01-08 00:50

根据wordpress的特性进行的fuzzing

漏洞url:

http://www.aliued.cn这是阿里巴巴中国站的网站



http://xxx.cn/?author=1

...

http://xxx.cn/?author=100

得到用户名多个

code 区域
a

mask 区域
*****g*****

*****fan*****

*****zh*****

*****st*****

*****hou*****

*****ou1*****

*****li*****

*****t*****

*****a*****

*****m*****

*****bma*****

*****hao*****

*****ou1*****

*****m

*****

*****n

*****

*****hou*****

*****ls*****

*****ny *****

*****rr*****

*****li*****

*****xum*****

*****29*****

*****ei*****

*****qin*****

*****ell*****

*****rr*****

*****g.ya*****

*****iso*****

*****en*****

*****n.z*****

*****t.t*****

*****gj*****

*****i

*****

*****enh*****

*****ao*****

***** m*****

*****han*****

*****ire*****

*****ker*****

***** qu*****

*****ju*****

*****lil*****

*****u

*****

*****a

*****

*****qun*****

*****ei*****

*****yi*****

*****j

*****

*****ei*****

*****ca*****

*****yd*****



后台登陆

http://www.aliued.cn/wp-login.php

得到多个弱口令

code 区域
l

mask 区域
*****llo1*****

*****hello*****

***** hello*****

***** hello*****

***** hell*****

***** 123*****

*****yangw*****

3456

漏洞证明:

漏洞证明

ali4.PNG



ali5.PNG



ali3.PNG



al6.PNG

修复方案:

原来阿里就爆出了很多关于登陆接口的漏洞

不能指那补那

知识来源: www.wooyun.org/bugs/wooyun-2015-084389

阅读:86493 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“阿里巴巴某内部系统弱口令多个(中国站)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于垒土;黑客之术,始于阅读

推广

工具

标签云