记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

华润三九某子网站员工敏感信息泄漏引起的一系列问题

2014-12-09 22:48

通过对子网站的检测,发现系统中员工信息管理功能存在越权操作,用户可以在不经任何身份认证的情况下对集团员工信息进行访问

员工信息管理.jpg



员工信息.jpg



通过对该信息的收集,得到集团用户信息,虽然不知道是否为最新状态,但是破解emali弱口令应该是够了。

通过对弱口令的分析,得到部分账户,进入账户进行下一步的信息收集。

得到MCC系统登录信息

MCC系统用户名密码泄漏.jpg



得到双鹤流量系统信息

双鹤流向信息泄漏.jpg



得到其他系统信息

重置密码信息.jpg



得到集团VPN以及测试环境信息

泄漏MCC系统登录方式及VPN.jpg



另外,在对SMS系统的测试过程中,发现由于这样的提示

QQ截图20141204175614.jpg



这样,收集到的email弱口令可以用在该系统中。

漏洞证明:



员工信息.jpg



得到MCC系统登录信息

MCC系统用户名密码泄漏.jpg



得到双鹤流量系统信息

双鹤流向信息泄漏.jpg



得到其他系统信息

重置密码信息.jpg



得到集团VPN以及测试环境信息

泄漏MCC系统登录方式及VPN.jpg

修复方案:

消除系统敏感信息


知识来源: www.wooyun.org/bugs/wooyun-2014-085883

阅读:97173 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“华润三九某子网站员工敏感信息泄漏引起的一系列问题”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云