漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-021223
漏洞标题:爱奇异多个网站管理后台通用密码/弱口令导致沦陷
相关厂商:奇艺
漏洞作者: hacker@sina.cn
提交时间:2013-04-03 22:22
修复时间:2013-05-18 22:22
公开时间:2013-05-18 22:22
漏洞类型:服务弱口令
危害等级:高
自评Rank:1
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-04-03: 细节已通知厂商并且等待厂商处理中
2013-04-04: 厂商已经确认,细节仅向厂商公开
2013-04-14: 细节向核心白帽子及相关领域专家公开
2013-04-24: 细节向普通白帽子公开
2013-05-04: 细节向实习白帽子公开
2013-05-18: 细节向公众公开
简要描述:
爱 奇异的妹纸,谁能告诉我展会上那三位美女的QQ?
详细说明:
你们很多地方用的一个swf的flash上传组件有漏洞,可以上传任意类型文件,提醒你们一下,其他没用的信息我就不贴出来了,比如已经被你们改掉了密码或失效的信息,哦 对了 你们已经把我所有SHELL清除掉了,不用再麻烦的排查了,哦 又对了,我没留过其他后门的,放心吧,咱口碑贼好。
那次在你们new.cms.iqiyi.com上也没想怎么样,就是想抓到苗壮等管理人员的密码而已,不过很遗憾被你们发现了,为了研究这个https 部署花了我一通宵的时间,真坑爹.我还给你们配置好了yum更新源,以后你们可以直接更新centos的源了哦!都是正规源 放心使用.
最早就是通过分甘同味拿到shell的
220.181.184.*内网通用SSH账密:
帐号:root 密码:1234.asd
分甘同味
http://220.181.184.23:80/
admin/admin
Resin读文件,后台:
http://220.181.184.79/resin-doc/examples/ioc-periodictask/viewfile?file=index.xtp
http://220.181.184.79/resin-admin/j_security_check?j_uri=status.php
new.cms.iqiyi.com (10.10.131.142) 公网IP:http://220.181.109.72:8080/
http://220.181.184.79/index!logon.action 爱奇异内容管理系统
rsync.pwd文件中的密码:Qiyi.123
==========
最重要的:
邮箱帐密:
zhumeiqi@qiyi.com/520184.zmq 朱**,生活频道
makai@qiyi.com/MAkai0313 马*,动漫部
huangdi@qiyi.com/Hdhd@123 黄*
zhiban@qiyi.com/zhiban 于**
单点登录是方便,也方便黑客
https://mail.qiyi.com/iwc_static/layout/login.html
------------------------
其他信息:
https://cineshareplus.spe.sony.com/
用户名: RXu2
密码: Qiyi123 (大写Q)
名称:节目中心图片库
地址:10.10.144.108
用户名:qiyi_CNT_programCenter_Studio
密 码:QNF!=AawGdaj
已知具有后台管理权限的人员名单:
miaozhuang
yushitao
chenfeng
sunyumei
zhangyu
wangxiang
wuyichan
ligang1
mingzhen
liudan
lishunlong
zhanghuiyun
zhangyuan
zengyoujun
wangjiao
huna
zhengqinwen
chenmaoli
漏洞证明:
修复方案:
别用通用密码了,复杂点,或者干脆全部基于RSA公钥认证登录吧,别在服务器上放私钥!
新上线的系统内部测试就行了,别给个外网IP,这就像印度男人认为的那样 既然你已经一丝不挂 男人们又怎能控制得住自己?
版权声明:转载请注明来源 hacker@sina.cn@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2013-04-04 11:13
厂商回复:
非常感谢,并紧急处理
最新状态:
暂无