记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

itools.cn MongoDB数据库未授权访问导致敏感信息泄露

2014-10-29 19:42

itools.cn一台监控服务器使用了MongoDB数据库,但是没做限制,可以直接访问,数据表里存在itools.cn的所有HOST,还有管理员的用户名和密码,密码是普通的MD5加密,弄到CMD5上一跑,密码就出来了,而后测试了所有的HOST,有几台是管理后台,用测试出来的用户名密码登陆这些管理后台,均可登陆.而且是系统管理员权限,还有几个系统管理员的密码是123456这种简单密码.

漏洞证明:

数据库IP地址:118.26.152.185

管理员用户名:wangxj

管理员密码:jsge2rmq



后台地址:http://118.26.145.93/

http://118.26.145.73:8080/

http://118.26.152.185/

http://118.26.145.87:82/index.php?r=admini/public/login



QQ图片20141024154103.jpg



QQ图片20141024154030.jpg



QQ图片20141024154130.jpg

修复方案:

数据库做访问限制,修改弱口令,管理后台限制访问,管理员以及员工开展自查,包括QQ,邮箱等,以防被社工.


知识来源: www.wooyun.org/bugs/wooyun-2014-080595

阅读:84317 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“itools.cn MongoDB数据库未授权访问导致敏感信息泄露”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云