当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-036832

漏洞标题:宜搜网漏洞礼包(弱口令、SVN信息x泄露等)

相关厂商:easou.com

漏洞作者: Coody

提交时间:2013-09-12 13:43

修复时间:2013-10-27 13:43

公开时间:2013-10-27 13:43

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-09-12: 细节已通知厂商并且等待厂商处理中
2013-09-12: 厂商已经确认,细节仅向厂商公开
2013-09-22: 细节向核心白帽子及相关领域专家公开
2013-10-02: 细节向普通白帽子公开
2013-10-12: 细节向实习白帽子公开
2013-10-27: 细节向公众公开

简要描述:

1、20rank ?
2、不能是小厂商流程了吧?
3、我实在是懒得继续了。。。

详细说明:

切入点为:http://jk.easou.com/upload/


QQ图片20130911230444.jpg


可以看到很多 xls & xml 文件
xls文件:包含很多【所属部门、机房、机柜、设备位、资产编号、主机名、主IP、外网IP、内网IP……】等的内容(此处就不截图了)。
xml文件:泄露很多内部员工 Email 信息(文件过大,烂笔记本卡爆了)。
下载几个xls看了下,结果如下:
1.http://118.145.13.12/ SmokePing网络监测平台

QQ图片20130911231623.jpg


2.http://120.197.95.240:8080/ 宜搜用户管理后台
弱口令:admin/123456

QQ图片20130911232250.jpg


命令执行:

QQ图片20130911232230.jpg


3.http://120.197.95.104/ OP运维平台
svn 信息泄露:

QQ图片20130911232615.jpg


列目录:

QQ图片20130911232643.jpg


数据库备份文件泄露(虽然日期是2012年的):

QQ图片20130911232705.jpg


成功登录运维平台(lee/123qwe):

QQ图片20130911233030.jpg


好吧,先就这样吧。。。。

漏洞证明:

见【详细说明】

修复方案:

求个礼物O(∩_∩)O~

版权声明:转载请注明来源 Coody@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2013-09-12 14:37

厂商回复:

非常感谢您的提醒,我们会尽快修复。

最新状态:

暂无