当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-08366

漏洞标题:某省服务器用户密码泄漏(电子政务大厅)

相关厂商:四川全省政务大厅

漏洞作者: 0gucci

提交时间:2012-06-16 17:54

修复时间:2012-07-31 17:55

公开时间:2012-07-31 17:55

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-06-16: 细节已通知厂商并且等待厂商处理中
2012-06-19: 厂商已经确认,细节仅向厂商公开
2012-06-29: 细节向核心白帽子及相关领域专家公开
2012-07-09: 细节向普通白帽子公开
2012-07-19: 细节向实习白帽子公开
2012-07-31: 细节向公众公开

简要描述:

甘孜州..理塘县..阿坝州.马尔康县.九寨沟县.木里.盐源.德昌.会理.会东.宁南.普格.布托.金阳.昭觉.喜德.冕宁.越西.甘洛.美姑.雷波.西昌.凉山市.东区.西区.仁和.米易.盐边.市辖区.涪城区.游仙区.三台县.盐亭县.安县.梓潼县.北川羌族自治县.平武县.江油市.巴中市.巴中区.昌县.通江县.南江县.达州市.通川区.万源县.达县.宣汉县.开江县.大竹县.渠县.广元市.元坝区.朝天区.利州区.青川县.苍溪县.旺苍县.剑阁县.江阳.古蔺.叙永.合江.龙马.纳溪.泸县.广安市.广安区.岳池县.武胜县.华蓥市.邻水县.南充市.顺庆.高坪.嘉陵.阆中.南部.西充.营山.仪陇.蓬安.遂宁市.船山区.大英.蓬溪.射洪.安居.成都市.邛崃.彭州.青白江.新津.大邑.温江.崇州.金堂.龙泉驿.双流.蒲江.郫县.新都.成华.武侯.高新.青羊.锦江.金牛.都江堰.德阳市.旌阳区.广汉市.什邡市.绵竹市.中江县.罗江县.眉山.东坡.仁寿.彭山.洪雅.丹林.青神.雅安市.雨城区.宝兴.石棉.天全.荥经.芦山.名山.资阳市.雁江区.简阳.乐至.安岳.乐山市.乐山市市中区.犍为.五通桥区政务中心.峨边 .宜宾市.翠屏区.宜宾县.南溪县.江安县.长宁县.高县.筠连县.珙县.兴文县.屏山县.自贡市.自流井区.沿滩区.贡井区.高新区.大安区.富顺.荣县.内江市 以及更多县市这里就不列出来了.四川省内所有政务电子大厅服务器都有...

详细说明:

在内网的服务器中...保存了一个txt文件.文件内储存着全省的服务器用户以及密码.我也不知道管理员想什么.可能是因为内网管理员以为没那么容易进入吧.
过程:对任意一个大厅渗透并提权获取服务器权限后.获取内网信息.登陆到该内网服务器中.

漏洞证明:





修复方案:

-_,你们比我更专业. 相信管理员应该很熟悉 副本全省服务器用户密码.xls

版权声明:转载请注明来源 0gucci@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2012-06-19 16:54

厂商回复:

CNVD通过图片确认漏洞情况,未复现,同时感谢0gucci的协助,对于各省市县子站可能存在安全隐患有待进一步跟踪。在处置过程中,与网站管理方取得联系,对方反馈已经在跟踪处置。
根据图片所示情况评估,以机密性、完整性完全影响,可用性部分影响进行评分,rank=9.67*1.0*1.5(严重)=14.505

最新状态:

暂无