人人乐购服务器配置不当敏感信息泄漏

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-041315

漏洞标题：人人乐购服务器配置不当敏感信息泄漏

漏洞作者：盈盈无绪

提交时间：2013-10-29 15:08

修复时间：2013-12-13 15:09

公开时间：2013-12-13 15:09

漏洞类型：系统/服务运维配置不当

危害等级：中

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-10-29：积极联系厂商并且等待厂商认领中，细节不对外公开
2013-12-13：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

人人乐购服务器配置不当，敏感信息泄漏

详细说明：

rsync  211.162.125.104::rrl/
drwxrwxr--        8192 2013/10/17 03:00:35 .
-rwxr--r--   487634087 2012/12/10 16:34:40 20121210.rar
-rwxr--r--   493897107 2012/12/18 14:26:31 20121218.rar
-rwxr--r--   498737746 2012/12/26 09:38:53 20121226.rar
-rwxr--r--  1438367915 2013/03/26 18:03:05 Batch.tar
-rwxrwxrwx  5461966999 2013/04/03 22:59:49 WebSite0403.rar
-rwxrwxrwx  5466845020 2013/04/08 22:39:20 WebSite0408.rar
-rwxrwxrwx  5500256474 2013/04/15 22:45:44 WebSite0415.rar
-rwxr--r--  4414065935 2013/03/26 17:48:22 product.gz
-rwxr--r--  2975665828 2013/03/26 18:05:37 product.tar.gz
drwxr--r--           0 2013/06/20 17:38:17 $RECYCLE.BIN
drwxr--r--           0 2013/05/15 11:12:23 Backup
drwxrwxr--        4096 2013/05/15 08:55:21 DeltaCopy
drwxr--r--           0 2013/05/29 14:40:05 ImageSite
drwxrwxr--           0 2013/05/30 03:18:09 System Volume Information
drwxrwxrwx       28672 2013/06/14 13:50:31 WebSite.bak
drwxr--r--       32768 2013/10/28 22:04:27 WebSite
drwxrwxrwx           0 2013/06/14 14:06:21 WebSite0415
drwxr--r--        4096 2012/08/01 16:16:53 app
drwxr--r--        4096 2012/12/26 09:55:59 bak2
drwxr--r--        4096 2012/08/01 16:19:42 client
drwxr--r--    33816576 2013/03/26 15:36:32 product
drwxrwxrwx       65536 2013/08/15 18:04:18 zt

大多数目录有上传文件权限，对win不熟悉，就不浪费时间了。
直接用http://211.162.125.104/ 可以访问到的是ImageSite这个目录下的文件。

漏洞证明：

rsync  211.162.125.104::rrl/
drwxrwxr--        8192 2013/10/17 03:00:35 .
-rwxr--r--   487634087 2012/12/10 16:34:40 20121210.rar
-rwxr--r--   493897107 2012/12/18 14:26:31 20121218.rar
-rwxr--r--   498737746 2012/12/26 09:38:53 20121226.rar
-rwxr--r--  1438367915 2013/03/26 18:03:05 Batch.tar
-rwxrwxrwx  5461966999 2013/04/03 22:59:49 WebSite0403.rar
-rwxrwxrwx  5466845020 2013/04/08 22:39:20 WebSite0408.rar
-rwxrwxrwx  5500256474 2013/04/15 22:45:44 WebSite0415.rar
-rwxr--r--  4414065935 2013/03/26 17:48:22 product.gz
-rwxr--r--  2975665828 2013/03/26 18:05:37 product.tar.gz
drwxr--r--           0 2013/06/20 17:38:17 $RECYCLE.BIN
drwxr--r--           0 2013/05/15 11:12:23 Backup
drwxrwxr--        4096 2013/05/15 08:55:21 DeltaCopy
drwxr--r--           0 2013/05/29 14:40:05 ImageSite
drwxrwxr--           0 2013/05/30 03:18:09 System Volume Information
drwxrwxrwx       28672 2013/06/14 13:50:31 WebSite.bak
drwxr--r--       32768 2013/10/28 22:04:27 WebSite
drwxrwxrwx           0 2013/06/14 14:06:21 WebSite0415
drwxr--r--        4096 2012/08/01 16:16:53 app
drwxr--r--        4096 2012/12/26 09:55:59 bak2
drwxr--r--        4096 2012/08/01 16:19:42 client
drwxr--r--    33816576 2013/03/26 15:36:32 product
drwxrwxrwx       65536 2013/08/15 18:04:18 zt

大多数目录有上传文件权限，对win不熟悉，就不浪费时间了。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-041315

漏洞标题：人人乐购服务器配置不当敏感信息泄漏

相关厂商：人人乐购

漏洞作者：盈盈无绪

提交时间：2013-10-29 15:08

修复时间：2013-12-13 15:09

公开时间：2013-12-13 15:09

漏洞类型：系统/服务运维配置不当

危害等级：中

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源盈盈无绪@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-041315

漏洞标题：人人乐购服务器配置不当敏感信息泄漏

相关厂商：人人乐购

漏洞作者： 盈盈无绪

提交时间：2013-10-29 15:08

修复时间：2013-12-13 15:09

公开时间：2013-12-13 15:09

漏洞类型：系统/服务运维配置不当

危害等级：中

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-041315"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 盈盈无绪@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：盈盈无绪

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源盈盈无绪@乌云