当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-021223

漏洞标题:爱奇异多个网站管理后台通用密码/弱口令导致沦陷

相关厂商:奇艺

漏洞作者: hacker@sina.cn

提交时间:2013-04-03 22:22

修复时间:2013-05-18 22:22

公开时间:2013-05-18 22:22

漏洞类型:服务弱口令

危害等级:高

自评Rank:1

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-04-03: 细节已通知厂商并且等待厂商处理中
2013-04-04: 厂商已经确认,细节仅向厂商公开
2013-04-14: 细节向核心白帽子及相关领域专家公开
2013-04-24: 细节向普通白帽子公开
2013-05-04: 细节向实习白帽子公开
2013-05-18: 细节向公众公开

简要描述:

爱 奇异的妹纸,谁能告诉我展会上那三位美女的QQ?

详细说明:

你们很多地方用的一个swf的flash上传组件有漏洞,可以上传任意类型文件,提醒你们一下,其他没用的信息我就不贴出来了,比如已经被你们改掉了密码或失效的信息,哦 对了 你们已经把我所有SHELL清除掉了,不用再麻烦的排查了,哦 又对了,我没留过其他后门的,放心吧,咱口碑贼好。
那次在你们new.cms.iqiyi.com上也没想怎么样,就是想抓到苗壮等管理人员的密码而已,不过很遗憾被你们发现了,为了研究这个https 部署花了我一通宵的时间,真坑爹.我还给你们配置好了yum更新源,以后你们可以直接更新centos的源了哦!都是正规源 放心使用.
最早就是通过分甘同味拿到shell的
220.181.184.*内网通用SSH账密:
帐号:root 密码:1234.asd
分甘同味
http://220.181.184.23:80/
admin/admin
Resin读文件,后台:
http://220.181.184.79/resin-doc/examples/ioc-periodictask/viewfile?file=index.xtp
http://220.181.184.79/resin-admin/j_security_check?j_uri=status.php
new.cms.iqiyi.com (10.10.131.142) 公网IP:http://220.181.109.72:8080/
http://220.181.184.79/index!logon.action 爱奇异内容管理系统
rsync.pwd文件中的密码:Qiyi.123
==========
最重要的:
邮箱帐密:
zhumeiqi@qiyi.com/520184.zmq 朱**,生活频道
makai@qiyi.com/MAkai0313 马*,动漫部
huangdi@qiyi.com/Hdhd@123 黄*
zhiban@qiyi.com/zhiban 于**
单点登录是方便,也方便黑客
https://mail.qiyi.com/iwc_static/layout/login.html
------------------------
其他信息:
https://cineshareplus.spe.sony.com/
用户名: RXu2
密码: Qiyi123 (大写Q)
名称:节目中心图片库
地址:10.10.144.108
用户名:qiyi_CNT_programCenter_Studio
密 码:QNF!=AawGdaj
已知具有后台管理权限的人员名单:
miaozhuang
yushitao
chenfeng
sunyumei
zhangyu
wangxiang
wuyichan
ligang1
mingzhen
liudan
lishunlong
zhanghuiyun
zhangyuan
zengyoujun
wangjiao
huna
zhengqinwen
chenmaoli

漏洞证明:

a.jpg


b1.png

修复方案:

别用通用密码了,复杂点,或者干脆全部基于RSA公钥认证登录吧,别在服务器上放私钥!
新上线的系统内部测试就行了,别给个外网IP,这就像印度男人认为的那样 既然你已经一丝不挂 男人们又怎能控制得住自己?

版权声明:转载请注明来源 hacker@sina.cn@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2013-04-04 11:13

厂商回复:

非常感谢,并紧急处理

最新状态:

暂无